Considerações de segurança do App-V 5.1
Aplica-se a: Application Virtualization 5.1
Este tópico contém uma breve visão geral de contas e grupos, arquivos de log e outras considerações relacionadas à segurança do Microsoft Application Virtualization (App-V) 5.1.
Importante
O App-V 5.1 não é um produto de segurança e não oferece qualquer garantia de um ambiente seguro.
Este recurso do PackageStoreAccessControl (PSAC) foi preterido
A partir de junho de 2014, o recurso do PackageStoreAccessControl (PSAC) que foi introduzido no Microsoft Application Virtualization (App-V) 5.0 Service Pack 2 (SP2) foi preterido em ambientes de usuário único e vários usuários.
Considerações gerais de segurança
Compreenda os riscos de segurança. O maior risco do App-V 5.1 é que um usuário não autorizado pode se apoderar da sua funcionalidade e, com isso, reconfigurar dados de chave em clientes App-V 5.1. A perda de funcionalidade do App-V 5.1 por um curto período de tempo devido a um ataque de negação de serviço, geralmente, não teria um impacto catastrófico.
Proteja fisicamente os computadores. A segurança é incompleta sem a proteção física. Qualquer pessoa com acesso físico a um servidor App-V 5.1 poderia possivelmente atacar toda a base de clientes. Quaisquer ataques físicos em potencial precisam ser considerados um alto risco e atenuados adequadamente. Os servidores do App-V 5.1 devem ser armazenados em uma sala de servidor fisicamente segura com acesso controlado. Proteja esses computadores, quando os administradores não estão fisicamente presentes, travando o computador com o sistema operacional ou usando uma proteção de tela segura.
Aplique as atualizações de segurança mais recentes em todos os computadores. Para manter-se informado sobre as atualizações mais recentes para sistemas operacionais, Microsoft SQL Server e App-V 5.1, assine o serviço de notificações de segurança (https://go.microsoft.com/fwlink/p/?LinkId=28819).
Use senhas fortes ou frases secretas. Sempre use senhas fortes com 15 ou mais caracteres em todas as contas de administrador do App-V 5.1 e do App-V 5.1. Nunca use senhas em branco. Para obter mais informações sobre senhas, consulte o white paper “Políticas e Senhas de Contas” no TechNet (https://go.microsoft.com/fwlink/p/?LinkId=30009).
Contas e grupos no App-V 5.1
Uma prática recomendada para o gerenciamento de contas de usuário é criar grupos de domínio global e adicionar contas de usuário a eles. Em seguida, adicione as contas de domínio globais aos grupos locais necessários do App-V 5.1 nos servidores App-V 5.1.
Dica
Contas de computador do cliente App-V que precisam se conectar ao servidor de publicação devem fazer parte do grupo local Usuários do servidor. Por padrão, todos os computadores no domínio fazem parte do grupo Usuários autorizados, que é parte do grupo local Usuários.
Segurança do servidor App-V 5.1
Nenhum grupo é criado automaticamente durante a instalação do App-V 5.1. Você deve criar os grupos globais a seguir dos Serviços de Domínio Active Directory para gerenciar as operações do servidor App-V 5.1.
| Nome do grupo | Detalhes |
|---|---|
Grupo App-V Management Admin |
Usado para gerenciar o servidor de gerenciamento do App-V 5.1. Este grupo é criado durante a instalação do Servidor de Gerenciamento do App-V 5.1. Importante Após a conclusão da instalação, não existe um método para criação do grupo usando o console de gerenciamento. |
Leitura/gravação no banco de dados para a conta de Serviço de Gerenciamento |
Fornece acesso de leitura/gravação ao banco de dados de gerenciamento. Esta conta deve ser criada durante a instalação do banco de dados de gerenciamento do App-V 5.1. |
Conta administrativa de instalação do App-V Management Service Dica Só será necessária se o banco de dados de gerenciamento estiver sendo instalado separadamente do serviço. |
Fornece acesso público à tabela de versão do esquema no banco de dados de gerenciamento. Esta conta deve ser criada durante a instalação do banco de dados de gerenciamento do App-V 5.1. |
Conta administrativa de instalação do serviço de relatório do App-V Dica Só será necessária se o banco de dados de relatórios estiver sendo instalado separadamente do serviço. |
Acesso público à tabela de versão do esquema no banco de dados de relatórios. Esta conta deve ser criada durante a instalação do banco de dados de relatórios do App-V 5.1. |
Considere as seguintes informações adicionais:
Acesso aos compartilhamentos de pacotes - Se houver um compartilhamento no mesmo computador do Servidor de gerenciamento, o serviço de Rede exigirá acesso de leitura ao compartilhamento. Além disso, cada computador do cliente App-V deve ter acesso de leitura ao compartilhamento de pacote.
Dica
Nas versões anteriores do App-V, o compartilhamento de pacote era conhecido como compartilhamento de conteúdo.
Registrar servidores públicos com o servidor de gerenciamento - Um servidor de publicação deve ser registrado no servidor de gerenciamento. Por exemplo, ele deve ser adicionado ao banco de dados, para que as contas da máquina do servidor de publicação estejam aptas a chamar a API de serviço de gerenciamento.
Segurança do pacote do App-V 5.1
O procedimento a seguir ajudará no planejamento da segurança dos pacotes virtualizados.
- Se um instalador de aplicativo aplicar uma ACL (lista de controle de acesso) a um arquivo ou diretório, a ACL não persistirá no pacote. Quando o pacote é implantado, se o arquivo ou diretório for modificado por um usuário, ele herdará a ACL no %userprofile% ou a ACL do diretório do computador de destino. O primeiro caso ocorre se o arquivo ou o diretório não existir em um local do sistema de arquivos virtual; o segundo, se o arquivo ou o diretório existir em um local do sistema de arquivos virtual, por exemplo %windir%.
Arquivos de log do App-V 5.1
Durante a instalação do App-V 5.1, são criados arquivos de log da instalação na pasta %temp% do usuário que está realizando a instalação.
Você tem uma sugestão para o App-V?
Adicione ou vote em sugestões aqui. Para problemas com o App-V, utilize o Fórum App-V TechNet.
Consulte também
Outros recursos
Preparando seu ambiente do App-V 5.1
-----
Você pode saber mais sobre o MDOP na TechNet Library, pesquisar soluções de problemas no TechNet Wiki ou seguir-nos no Facebook ou Twitter.
-----