Considérations sur la sécurité d'App-V 5.1
Mis à jour: août 2015
S'applique à: Application Virtualization 5.1
Cette rubrique contient une brève présentation des comptes et groupes, fichiers journaux et autres considérations liées à la sécurité pour Microsoft Application Virtualization (App-V) 5.1.
Important
App-V 5.1 n'est pas un produit de sécurité et ne garantit pas un environnement sécurisé.
La fonctionnalité PackageStoreAccessControl (PSAC) a été déconseillée.
Depuis juin 2014, la fonctionnalité PackageStoreAccessControl (PSAC) qui a été introduite dans Microsoft Application Virtualization (App-V) 5.0 Service Pack 2 (SP2) a été déconseillée à la fois dans les environnements mono-utilisateur et multi-utilisateur.
Considérations relatives à la sécurité générale
**Comprendre les risques de sécurité.**Le risque le plus important pour App-V 5.1 est le fait que sa fonctionnalité pourrait être détournée par un utilisateur non autorisé qui pourrait ensuite reconfigurer des données clés sur des clients App-V 5.1. Une perte de fonctionnalité d'App-V 5.1 pendant une courte période en raison d'une attaque par déni de service n'aura en général pas un impact catastrophique.
Sécurisez physiquement vos ordinateurs. La sécurité est incomplète sans une sécurité physique. Une personne ayant un accès physique à un serveur App-V 5.1 peut potentiellement attaquer le parc de clients tout entier. Toutes les attaques physiques potentielles doivent être considérées comme des risques majeurs et réduites de façon appropriée. Les serveurs App-V 5.1 doivent être stockés dans une salle de serveurs sécurisée physiquement à l'aide d'un accès contrôlé. Sécurisez ces ordinateurs lorsque les administrateurs ne sont pas physiquement présents en faisant en sorte que le système d'exploitation verrouille l'ordinateur, ou à l'aide d'un économiseur d'écran sécurisé.
Appliquez les dernières mises à jour de sécurité à tous les ordinateurs. Pour rester informé sur les nouvelles mises à jour pour les systèmes d'exploitation, Microsoft SQL Server et App-V 5.1, abonnez-vous au service de notification sur la sécurité (https://go.microsoft.com/fwlink/p/?LinkId=28819).
Utiliser des mots de passe forts ou des phrases secrètes. Utilisez toujours des mots de passe forts munis d'au moins 15 caractères pour tous les comptes d'administrateurs App-V 5.1 et App-V 5.1. N'utilisez jamais des mots de passe vides. Pour plus d'informations sur les concepts de mot de passe, consultez le guide « Mot de passes et stratégies de compte » sur TechNet (https://go.microsoft.com/fwlink/p/?LinkId=30009).
Comptes et groupes dans App-V 5.1
Pour la gestion des comptes d'utilisateurs, la meilleure solution consiste à créer des groupes globaux de domaines et à leur ajouter des comptes d'utilisateurs. Ensuite, ajoutez les comptes globaux de domaine aux groupes locaux App-V 5.1 nécessaires sur les serveurs App-V 5.1.
Notes
Les comptes d'ordinateurs clients App-V qui doivent se connecter au serveur de publication doivent faire partie du groupe local Utilisateurs du serveur de publication. Par défaut, tous les ordinateurs du domaine font partie du groupe Utilisateurs autorisés, qui fait partie du groupe local Utilisateurs.
Sécurité du serveur App-V 5.1
Aucun groupe n'est créé automatiquement lors de l'installation d'App-V 5.1. Vous devez créer les groupes globaux de services de domaine Active Directory suivants pour gérer les opérations du serveur App-V 5.1.
| Nom de groupe | Détails |
|---|---|
Groupe d'administration de gestion App-V |
Permet de gérer le serveur d'administration App-V 5.1. Ce groupe est créé durant l'installation du serveur d'administration App-V 5.1. Important Une fois l'installation terminée, aucune méthode ne permet de créer le groupe à l'aide de la console de gestion. |
Accès en lecture-écriture à la base de données pour le compte du service de gestion |
Fournit un accès en lecture/écriture à la base de données de gestion. Ce compte doit être créé au cours de l'installation de la base de données de gestion d'App-V 5.1. |
Compte d'administration de l'installation du service de gestion App-V Notes Ce compte est requis uniquement si la base de données de gestion est installée séparément du service. |
Offre un accès public à la table de versions de schéma dans la base de données de gestion. Ce compte doit être créé au cours de l'installation de la base de données de gestion d'App-V 5.1. |
Compte d'administration de l'installation du service de rapports App-V Notes Ce compte est requis uniquement si la base de données de rapports est installée séparément du service. |
Offre un accès public à la table de versions de schéma dans la base de données de rapports. Ce compte doit être créé au cours de l'installation de la base de données de rapports d'App-V 5.1. |
Tenez compte des informations supplémentaires suivantes :
Accès aux partages de package : s'il existe un partage sur le même ordinateur que le serveur d'administration, le service Réseau exige un accès en lecture au partage. En outre, chaque ordinateurclient App-V doit avoir un accès en lecture au partage du package.
Notes
Dans les versions précédentes d'App-V, le partage de package était appelé partage de contenu.
Enregistrement des serveurs de publication auprès du serveur d'administration - un serveur de publication doit être enregistré auprès du serveur d'administration. Par exemple, il doit être ajouté à la base de données afin que les comptes d'ordinateurs serveurs de publication soient en mesure d'appeler l'API de service de gestion.
Sécurité du package App-V 5.1
Les informations suivantes vont aideront à planifier la sécurité des packages virtualisés.
- Si un programme d'installation d'application applique une liste de contrôle d'accès (ACL) à un fichier ou à un répertoire, cette liste n'est pas conservée dans le package. Lorsque du déploiement du package, si le fichier ou le répertoire est modifié par un utilisateur, il hérite soit de la liste de contrôle d'accès (ACL) dans %userprofile%, soit de celle se trouvant dans le répertoire de l'ordinateur cible. Le premier cas se produit si le fichier ou le répertoire n'existe pas dans un emplacement du système de fichiers virtuel ; le second survient si le fichier ou le répertoire existe dans un emplacement du système de fichiers virtuel, par exemple %windir%.
Fichiers journaux d'App-V 5.1
Durant l'installation d'App-V 5.1, des fichiers journaux d'installation sont créés dans le dossier %Temp% de l'utilisateur à l'origine de l'opération.
Vous avez une suggestion pour App-V ?
Ajoutez des suggestions ou votez pour les meilleures ici. Pour les problèmes relatifs à App-V, utilisez le Forum TechNet App-V.
Voir aussi
Autres ressources
Préparation de votre environnement pour App-V 5.1
-----
Vous pouvez en apprendre plus sur MDOP dans Bibliothèque TechNet, rechercher des solutions à des problèmes dans le TechNet Wiki ou nous suivre sur Facebook ou Twitter.
-----