Share via

Panoramica della sicurezza e della protezione

  • Articolo

Aggiornamento: settembre 2009

Si applica a: Application Virtualization

Microsoft Application Virtualization 4.5 fornice le seguenti funzionalità di protezione avanzata per la pianificazione e l'implementazione di una strategia di distribuzione più sicura.

  • Application Virtualization ora supporta Transport Layer Security (TLS) con certificati X.509 V3. Assumendo che un certificato server sia stato predisposto per l'Application Virtualization Management Server o Streaming Server previsto, l'installazione diventerà protetta per impostazione predefinita, usando il protocollo RTSPS sulla porta 322. L'uso di RTSPS garantisce la firma e la crittografia della comunicazione fra gli Application Virtualization Server e gli Application Virtualization Client. Se non viene assegnato alcun certificato durante l'installazione dell'Application Virtualization Server, la comunicazione verrà impostata su RTSP alla porta 554.

    securityProtezione Nota
    Per garantire un'installazione sicura del server, è necessario verificare che le porte RTSP siano disattivate, anche se si hanno tutti i pacchetti configurati per l'uso di RTSPS.

    Se si aggiungono certificati di protezione al server dopo che questo è stato installato, il server potrebbe non rilevarli. Per assicurare che i certificati di protezione vengano rilevati, riavviare il server dopo aver aggiunto i certificati.

  • Il client deve essere configurato per l'uso dello stesso protocollo e delle stessa porta del server, altrimenti non sarà in grado si comunicare con esso. Il client deve inoltre ritenere attendibile l'autorità emittente del certificato e, a questo scopo, è già fornito di alcuni fra i principali provider nell'Archivio certificati attendibili. È possibile utilizzare certificati autofirmati, ma è necessario aggiornare il client.

  • Quando si configurano server IIS per l'uso del protocollo HTTPS per il flusso, è necessario impostare Secure Sockets Layer (SSL) sul server ed eseguire il provisioning del certificato per lo stesso. I client devono inoltre essere configurati per ritenere affidabile l'autorità di certificazione principale che ha rilasciato il certificato server.

  • L'autenticazione Kerberos è stata aggiunta a Microsoft Application Virtualization come meccanismo di autenticazione predefinito. Le versioni precedenti si affidavano per l'autenticazione a NTLM V2. L'uso dell'autenticazione Kerberos rinforza la protezione della comunicazione fra il client e l'Application Virtualization Server. Quando il client avvia una comunicazione, l'Application Virtualization Server verifica il ticket di sessione con il centro distribuzione chiavi (KDC).

  • Grazie al supporto di certificati server e protocolli RTSPS o HTTPS, è ora possibile supportare client al di fuori della rete aziendale. Ciò può rivelarsi utile per eliminare la necessità di impostare una connessione sicura con la rete aziendale (VPN, RAS, e così via) da parte degli utenti mobili, prima di eseguire applicazioni predisposte per Application Virtualization.

Sono di seguito riportate alcune ulteriori considerazioni sulla protezione da prendere in esame:

  • Mantenere i server sempre aggiornati e protetti in modo completo.

  • Per aggiungere un certificato al fine di proteggere le comunicazioni con Application Virtualization Management Server, è necessario soddisfare i seguenti criteri:

    • L'utente che aggiungerà il certificato deve disporre di diritti di amministratore per il server in cui si trova l'archivio di certificati.

    • Il servizio server deve essere in esecuzione.

    • La porta 139 sull'Application Virtualization Management Server deve essere aperta all'indirizzo IP del server del servizio Web.

  • Utilizzare elenchi di controllo di accesso (ACL) per assicurarsi che i pacchetti dell'applicazione e tutti i file del pacchetto siano protetti e non possano essere manomessi. Gli ACL restringono l'accesso al percorso o alla cartella in cui si archiviano i pacchetti, consentendo l'accesso solo a specifici account. 

  • Assicurarsi che il canale fra Application Virtualization Management Server e il database sia protetto—ad esempio, con l'uso di IPsec.

  • Se i pacchetti vengono archiviati su una rete SAN o NAS, verificare che la connessione fra l'archivio centrale e gli Application Virtualization Server sia protetta.

  • Tutti i canali di comunicazione verso il client dovrebbero essere protetti—incluse le connessioni al server di pubblicazione, all'Application Virtualization Server, e ai percorsi dei file OSD e ICO—con l'uso di un protocollo come HTTPS o IPsec. 

  • I permessi client dovrebbero essere configurati per garantire che i pacchetti non possano essere manomessi dagli utenti. È particolarmente importante non assegnare agli utenti l'autorizzazione per aggiungere o aggiornare pacchetti su sistemi condivisi fra più utenti come i server Host sessione Desktop remoto.

  • L'autenticazione Kerberos deve essere consentita in tutti gli ambienti di dominio o foresta affinché Server Management Console funzioni correttamente.

  • Questa versione del software non supporta l'hosting di un server RTSP basato su Kerberos e un server IIS basato Microsoft basato esclusivamente su NTLM sullo stesso computer. Per ospitare un server RTSP e un server IIS sullo stesso computer, rimuovere SPN dal server IIS e utilizzare l'autenticazione NTLM.

Vedere anche

Altre risorse

Pianificazione per la distribuzione del sistema Application Virtualization

-----
Per ulteriori informazioni su MDOP, vedere la libreria TechNet. Cercare la risoluzione dei problemi su TechNet Wiki oppure seguiteci su Facebook o Twitter. Inviare suggerimenti e commenti sulla documentazione di MDOP a MDOPdocs@microsoft.com.