Considerações de Segurança do UE-V 1.0
Aplica-se a: User Experience Virtualization 1.0
Este tópico contém uma breve visão geral de contas e grupos, arquivos de log e outras considerações relacionadas à segurança do Virtualização da Experiência do Usuário Microsoft (UE-V). Para obter mais informações, siga os links fornecidos aqui.
Considerações de segurança para configuração do UE-V
Quando você cria o compartilhamento de armazenamento de configurações, limita o acesso de compartilhamento aos usuários que precisam de acesso.
Como os pacotes de configurações podem conter informações pessoais, você deve ter o cuidado de protegê-los da melhor forma possível. Em geral, faça o seguinte:
Restrinja o compartilhamento a somente usuários que precisam de acesso. Crie um grupo de segurança para usuários com pastas redirecionadas em um compartilhamento determinado e limite o acesso somente a esses usuários.
Ao criar o compartilhamento, oculte-o colocando um $ após o nome do compartilhamento. Isso ocultará o compartilhamento de navegadores casuais, e o compartilhamento não ficará visível em Meus Locais de Rede.
Forneça apenas o mínimo de permissões necessárias ao usuário. As permissões necessárias são mostradas nas tabelas abaixo.
Defina as seguintes permissões (SMB) de nível de compartilhamento para a pasta do local de armazenamento de configurações:
Conta de usuário Permissões recomendadas Todos
Sem Permissões
Grupo de segurança doUE-V
Controle Total
Defina as seguintes permissões NTFS para a pasta do local de armazenamento de configurações:
Conta de usuário Permissões recomendadas Pasta Criador/Proprietário
Sem Permissões
Sem Permissões
Admins. do Domínio
Controle Total
Esta Pasta, Subpastas e Arquivos
Grupo de segurança de usuários do UE-V
Listar Pasta/Ler Dados, Criar Pastas/Acrescentar Dados
Esta Pasta Somente
Todos
Remover todas as permissões
Sem Permissões
Defina as seguintes permissões (SMB) de nível de compartilhamento para a pasta do catálogo de modelos de configurações.
Conta de usuário Permissões recomendadas Todos
Sem Permissões
Computadores do Domínio
Níveis de Permissão de Leitura
Administradores
Níveis de Permissão de Leitura/Gravação
Defina as seguintes permissões NTFS para a pasta do catálogo de modelos de configurações.
Conta de usuário Permissões recomendadas Aplica-se a Criador/Proprietário
Controle Total
Esta Pasta, Subpastas e Arquivos
Computadores do Domínio
Listar Pasta Conteúdo e Leitura
Esta Pasta, Subpastas e Arquivos
Todos
Sem Permissões
Sem Permissões
Administradores
Controle Total
Esta Pasta, Subpastas e Arquivos
Use o Windows Server 2003 ou servidores posteriores para hospedar compartilhamentos de arquivos redirecionados
Os arquivos de pacote de configurações do usuário contêm informações pessoais que são transferidas entre o computador cliente e o servidor que armazena os pacotes de configurações. Por isso, você deve verificar se os dados estão protegidos enquanto trafegam pela rede.
Os dados de configurações do usuário estão vulneráveis a estas ameaças potenciais: interceptação de dados enquanto trafegam pela rede; adulteração dos dados enquanto passam pela rede e falsificação do servidor que hospeda os dados.
Vários recursos do Windows Server 2003 e posterior podem ajudar a proteger os dados do usuário:
Kerberos - Kerberos é o padrão em todas as versões do Windows 2000, do Windows Server 2003 e posteriores. O Kerberos garante o mais alto nível de segurança para recursos de rede. O NTLM autentica somente cliente; o Kerberos autentica o servidor e o cliente. Quando o NTLM é usado, o cliente não sabe se o servidor é válido. Isso é importante principalmente se o cliente está trocando arquivos pessoais com o servidor, como no caso dos Perfis Móveis. O Kerberos fornece melhor segurança que o NTLM. O Kerberos não está disponível em sistemas operacionais do Windows NT versão 4.0 ou anteriores.
IPsec - o protocolo de segurança de IP (IPsec) fornece autenticação, integridade de dados e criptografia em nível de rede. O IPsec garante o seguinte:
Os dados móveis estão seguros contra modificação de dados enquanto trafegam.
Os dados móveis estão seguros contra interceptação, exibição ou cópia.
Os dados móveis estão seguros contra o acesso de partes não autenticadas.
Assinatura SMB - o protocolo de autenticação SMB (Server Message Block) oferece suporte a autenticação de mensagens que evitam ataques à mensagem ativa e a intermediários. A assinatura SMB fornece essa autenticação colocando uma assinatura digital em cada SMB. A assinatura digital é verificada pelo cliente e pelo servidor. Para usar a assinatura SMB, é necessário primeiro habilitá-la ou solicitá-la no cliente SMB e no servidor SMB. Observe que a assinatura SMB impõe uma penalidade de desempenho. Ela não consome mais a largura de banda da rede, mas usa mais ciclos de CPU no cliente e no servidor.
Use sempre o sistema de arquivos NTFS para volumes que armazenam dados de usuários
Para obter configurações mais seguras, configure os servidores que hospedam os arquivos de configurações do UE-V para usarem o sistema de arquivos NTFS. Ao contrário do FAT, o NTFS oferece suporte a listas de controle de acesso condicional (DACLs) e a listas de controle de acesso do sistema (SACLs). As DACLs e SACLs controlam quem pode executar operações em um arquivo e quais eventos acionarão o registro em log das ações executadas em um arquivo.
Não confie no EFS para criptografar os arquivos dos usuários quando transmitidos pela rede
Ao usar o EFS (Encrypting File System) para criptografar arquivos em um servidor remoto, os dados criptografados não serão criptografados durante o tráfego na rede; eles só serão criptografados quando armazenados em disco.
As exceções são quando o sistema inclui protocolo de segurança IPsec ou WebDAV. O IPsec criptografa os dados enquanto são transportados por uma rede TCP/IP. Se o arquivo for criptografado antes de ser copiado ou movido para uma pasta de WebDAV em um servidor, ele permanecerá criptografado durante a transmissão e enquanto estiver armazenado no servidor.
Criptografe o cache de Arquivos Offline
Por padrão, o cache de Arquivos Offline é protegido em partições NTFS por ACLs, mas a criptografia do cache pode aumentar ainda mais a segurança em um computador local. Por padrão, o cache no computador local não é criptografado, portanto, quaisquer arquivos criptografados armazenados no cache da rede não serão criptografados no computador local. Isso pode causar um risco à segurança em alguns ambientes.
Quando a criptografia está habilitada, todos os arquivos no cache de Arquivos Offline são criptografados. Isso inclui criptografia de arquivos existentes, bem como de arquivos adicionados posteriormente. A cópia em cache no computador local é afetada, mas não a cópia da rede associada.
O cache pode ser criptografado das seguintes maneiras:
Por meio da Politica de Grupo. - Habilite a configuração Criptografar o Cache de Arquivos Offline, localizada em Configuração do Computador\Modelos Administrativos\Rede\Arquivos Offline, no editor da Política de Grupo.
Manualmente. - Selecione Ferramentas e Opções de Pasta no menu de comando do Windows Explorer. Selecione a guia Arquivos Offline e, em seguida, marque a caixa de seleção Criptografar arquivos offline para proteger dados.
Permita que o UE-V Agent crie pastas para cada usuário
Para garantir um ótimo desempenho do UE-V, crie somente o compartilhamento raiz no servidor e permita que o UE-V Agent crie as pastas para cada usuário. O UE-V criará essas pastas do usuário com a segurança adequada.
Essa configuração de permissão permite que os usuários criem pastas para armazenamento de configurações. O UE-V agent cria e protege uma pasta settingspackage enquanto executa no contexto do usuário. O usuário receberá controle total para a pasta settingspackage. Outros usuários não herdam acesso a esta pasta. Não é necessário criar e proteger diretórios de usuário individuais. Isso será feito automaticamente pelo agente que executa no contexto do usuário.
Dica
A segurança adicional pode ser configurada quando o servidor do Windows for utilizado para compartilhamento de armazenamento de configurações. O UE-V pode ser configurado para verificar se o grupo do administrador local ou o usuário atual é proprietário da pasta em que os pacotes de configurações estão armazenados. Para habilitar a segurança adicional, use o seguinte comando:
- Adicione uma chave de registro REG_DWORD nomeada "RepositoryOwnerCheckEnabled" a
HKEY_LOCAL_MACHINE\Software\Microsoft\UEV\Agent\Configuration
.
- Defina o valor da chave do registro para 1.
Se for necessário criar pastas para os usuários, verifique se você tem as permissões corretas definidas.
É altamente recomendável não criar pastas previamente; em vez disso, permita que o UE-V agent crie a pasta para o usuário.
Verifique se as permissões corretas estão definidas ao armazenar configurações do UE-V no diretório base do usuário.
Se você redirecionar as configurações do UE-V para um diretório base do usuário, verifique se as permissões no diretório base do usuário estão definidas adequadamente para sua empresa.
Consulte Também
Outros Recursos
Segurança e privacidade para UE-V 1.0
-----
É possível obter mais informações sobre o MDOP na Biblioteca do TechNet, pesquisar sobre solução de problemas no Wiki da TechNet ou nos seguir no Facebook ou Twitter.
-----