Considerações de Segurança do UE-V 1.0

  • Artigo

Aplica-se a: User Experience Virtualization 1.0

Este tópico contém uma breve visão geral de contas e grupos, arquivos de log e outras considerações relacionadas à segurança do Virtualização da Experiência do Usuário Microsoft (UE-V). Para obter mais informações, siga os links fornecidos aqui.

Considerações de segurança para configuração do UE-V

Quando você cria o compartilhamento de armazenamento de configurações, limita o acesso de compartilhamento aos usuários que precisam de acesso.

Como os pacotes de configurações podem conter informações pessoais, você deve ter o cuidado de protegê-los da melhor forma possível. Em geral, faça o seguinte:

  • Restrinja o compartilhamento a somente usuários que precisam de acesso. Crie um grupo de segurança para usuários com pastas redirecionadas em um compartilhamento determinado e limite o acesso somente a esses usuários.

  • Ao criar o compartilhamento, oculte-o colocando um $ após o nome do compartilhamento. Isso ocultará o compartilhamento de navegadores casuais, e o compartilhamento não ficará visível em Meus Locais de Rede.

  • Forneça apenas o mínimo de permissões necessárias ao usuário. As permissões necessárias são mostradas nas tabelas abaixo.

    1. Defina as seguintes permissões (SMB) de nível de compartilhamento para a pasta do local de armazenamento de configurações:

      Conta de usuário Permissões recomendadas

      Todos

      Sem Permissões

      Grupo de segurança doUE-V

      Controle Total

    2. Defina as seguintes permissões NTFS para a pasta do local de armazenamento de configurações:

      Conta de usuário Permissões recomendadas Pasta

      Criador/Proprietário

      Sem Permissões

      Sem Permissões

      Admins. do Domínio

      Controle Total

      Esta Pasta, Subpastas e Arquivos

      Grupo de segurança de usuários do UE-V

      Listar Pasta/Ler Dados, Criar Pastas/Acrescentar Dados

      Esta Pasta Somente

      Todos

      Remover todas as permissões

      Sem Permissões

    3. Defina as seguintes permissões (SMB) de nível de compartilhamento para a pasta do catálogo de modelos de configurações.

      Conta de usuário Permissões recomendadas

      Todos

      Sem Permissões

      Computadores do Domínio

      Níveis de Permissão de Leitura

      Administradores

      Níveis de Permissão de Leitura/Gravação

    4. Defina as seguintes permissões NTFS para a pasta do catálogo de modelos de configurações.

      Conta de usuário Permissões recomendadas Aplica-se a

      Criador/Proprietário

      Controle Total

      Esta Pasta, Subpastas e Arquivos

      Computadores do Domínio

      Listar Pasta Conteúdo e Leitura

      Esta Pasta, Subpastas e Arquivos

      Todos

      Sem Permissões

      Sem Permissões

      Administradores

      Controle Total

      Esta Pasta, Subpastas e Arquivos

Use o Windows Server 2003 ou servidores posteriores para hospedar compartilhamentos de arquivos redirecionados

Os arquivos de pacote de configurações do usuário contêm informações pessoais que são transferidas entre o computador cliente e o servidor que armazena os pacotes de configurações. Por isso, você deve verificar se os dados estão protegidos enquanto trafegam pela rede.

Os dados de configurações do usuário estão vulneráveis a estas ameaças potenciais: interceptação de dados enquanto trafegam pela rede; adulteração dos dados enquanto passam pela rede e falsificação do servidor que hospeda os dados.

Vários recursos do Windows Server 2003 e posterior podem ajudar a proteger os dados do usuário:

  • Kerberos - Kerberos é o padrão em todas as versões do Windows 2000, do Windows Server 2003 e posteriores. O Kerberos garante o mais alto nível de segurança para recursos de rede. O NTLM autentica somente cliente; o Kerberos autentica o servidor e o cliente. Quando o NTLM é usado, o cliente não sabe se o servidor é válido. Isso é importante principalmente se o cliente está trocando arquivos pessoais com o servidor, como no caso dos Perfis Móveis. O Kerberos fornece melhor segurança que o NTLM. O Kerberos não está disponível em sistemas operacionais do Windows NT versão 4.0 ou anteriores.

  • IPsec - o protocolo de segurança de IP (IPsec) fornece autenticação, integridade de dados e criptografia em nível de rede. O IPsec garante o seguinte:

    • Os dados móveis estão seguros contra modificação de dados enquanto trafegam.

    • Os dados móveis estão seguros contra interceptação, exibição ou cópia.

    • Os dados móveis estão seguros contra o acesso de partes não autenticadas.

  • Assinatura SMB - o protocolo de autenticação SMB (Server Message Block) oferece suporte a autenticação de mensagens que evitam ataques à mensagem ativa e a intermediários. A assinatura SMB fornece essa autenticação colocando uma assinatura digital em cada SMB. A assinatura digital é verificada pelo cliente e pelo servidor. Para usar a assinatura SMB, é necessário primeiro habilitá-la ou solicitá-la no cliente SMB e no servidor SMB. Observe que a assinatura SMB impõe uma penalidade de desempenho. Ela não consome mais a largura de banda da rede, mas usa mais ciclos de CPU no cliente e no servidor.

Use sempre o sistema de arquivos NTFS para volumes que armazenam dados de usuários

Para obter configurações mais seguras, configure os servidores que hospedam os arquivos de configurações do UE-V para usarem o sistema de arquivos NTFS. Ao contrário do FAT, o NTFS oferece suporte a listas de controle de acesso condicional (DACLs) e a listas de controle de acesso do sistema (SACLs). As DACLs e SACLs controlam quem pode executar operações em um arquivo e quais eventos acionarão o registro em log das ações executadas em um arquivo.

Não confie no EFS para criptografar os arquivos dos usuários quando transmitidos pela rede

Ao usar o EFS (Encrypting File System) para criptografar arquivos em um servidor remoto, os dados criptografados não serão criptografados durante o tráfego na rede; eles só serão criptografados quando armazenados em disco.

As exceções são quando o sistema inclui protocolo de segurança IPsec ou WebDAV. O IPsec criptografa os dados enquanto são transportados por uma rede TCP/IP. Se o arquivo for criptografado antes de ser copiado ou movido para uma pasta de WebDAV em um servidor, ele permanecerá criptografado durante a transmissão e enquanto estiver armazenado no servidor.

Criptografe o cache de Arquivos Offline

Por padrão, o cache de Arquivos Offline é protegido em partições NTFS por ACLs, mas a criptografia do cache pode aumentar ainda mais a segurança em um computador local. Por padrão, o cache no computador local não é criptografado, portanto, quaisquer arquivos criptografados armazenados no cache da rede não serão criptografados no computador local. Isso pode causar um risco à segurança em alguns ambientes.

Quando a criptografia está habilitada, todos os arquivos no cache de Arquivos Offline são criptografados. Isso inclui criptografia de arquivos existentes, bem como de arquivos adicionados posteriormente. A cópia em cache no computador local é afetada, mas não a cópia da rede associada.

O cache pode ser criptografado das seguintes maneiras:

  1. Por meio da Politica de Grupo. - Habilite a configuração Criptografar o Cache de Arquivos Offline, localizada em Configuração do Computador\Modelos Administrativos\Rede\Arquivos Offline, no editor da Política de Grupo.

  2. Manualmente. - Selecione Ferramentas e Opções de Pasta no menu de comando do Windows Explorer. Selecione a guia Arquivos Offline e, em seguida, marque a caixa de seleção Criptografar arquivos offline para proteger dados.

Permita que o UE-V Agent crie pastas para cada usuário

Para garantir um ótimo desempenho do UE-V, crie somente o compartilhamento raiz no servidor e permita que o UE-V Agent crie as pastas para cada usuário. O UE-V criará essas pastas do usuário com a segurança adequada.

Essa configuração de permissão permite que os usuários criem pastas para armazenamento de configurações. O UE-V agent cria e protege uma pasta settingspackage enquanto executa no contexto do usuário. O usuário receberá controle total para a pasta settingspackage. Outros usuários não herdam acesso a esta pasta. Não é necessário criar e proteger diretórios de usuário individuais. Isso será feito automaticamente pelo agente que executa no contexto do usuário.

Dica

A segurança adicional pode ser configurada quando o servidor do Windows for utilizado para compartilhamento de armazenamento de configurações. O UE-V pode ser configurado para verificar se o grupo do administrador local ou o usuário atual é proprietário da pasta em que os pacotes de configurações estão armazenados. Para habilitar a segurança adicional, use o seguinte comando:

  1. Adicione uma chave de registro REG_DWORD nomeada "RepositoryOwnerCheckEnabled" a HKEY_LOCAL_MACHINE\Software\Microsoft\UEV\Agent\Configuration.

  2. Defina o valor da chave do registro para 1.

Quando esta configuração está ativa, o UE-V agent verifica se o grupo do administrador local ou o usuário atual é o proprietário da pasta settingspackage. Caso contrário, o UE-V agent não permitirá o acesso à pasta.

Se for necessário criar pastas para os usuários, verifique se você tem as permissões corretas definidas.

É altamente recomendável não criar pastas previamente; em vez disso, permita que o UE-V agent crie a pasta para o usuário.

Verifique se as permissões corretas estão definidas ao armazenar configurações do UE-V no diretório base do usuário.

Se você redirecionar as configurações do UE-V para um diretório base do usuário, verifique se as permissões no diretório base do usuário estão definidas adequadamente para sua empresa.

Consulte Também

Outros Recursos

Segurança e privacidade para UE-V 1.0

-----
É possível obter mais informações sobre o MDOP na Biblioteca do TechNet, pesquisar sobre solução de problemas no Wiki da TechNet ou nos seguir no Facebook ou Twitter.
-----