Аспекты обеспечения безопасности в UE-V 2.x

Назначение: User Experience Virtualization 2.0, User Experience Virtualization 2.1

В этой статье содержится краткий обзор учетных записей и групп, файлов журналов и других аспектов, связанных с безопасностью для Microsoft User Experience Virtualization (UE-V) 2.0 2.1 и 2.1 с пакетом обновления 1 (SP1). Для получения дополнительных сведений перейдите по ссылкам, содержащимся в этой статье.

Вопросы безопасности, связанные с настройкой UE-V

Поскольку пакеты параметров могут содержать персональные данные, необходимо принять меры по их защите. Как правило, требуется выполнить следующие действия.

• Предоставьте общий доступ только для тех пользователей, которым это необходимо. Создайте группу безопасности для пользователей, имеющих перенаправленные папки в определенной общей папке, и предоставьте доступ только этим пользователям.

• При создании общей папки скройте ее, добавив символ $ после имени папки. Такое добавление позволит скрыть общую папку от обычных браузеров, кроме того, она не будет отображаться в папке «Сетевое окружение».

• Предоставьте пользователям только минимально необходимые разрешения. В следующих таблицах показаны необходимые разрешения.

  1. Настройте для папки места хранения параметров следующие разрешения SMB уровня общей папки.

     Учетная запись пользователя	Рекомендуемые разрешения
     Все	Нет разрешений
     Группа безопасности UE-V	Полный доступ

  2. Задайте следующие разрешения файловой системы NTFS для папки места хранения параметров.

     Учетная запись пользователя	Рекомендуемые разрешения	Папка
     Автор/владелец	Нет разрешений	Нет разрешений
     Администраторы домена	Полный доступ	Эта папка, подпапки и файлы
     Группа безопасности пользователей UE-V	Содержимое папки/чтение данных, создание папок/добавление данных	Только для этой папки
     Все	Удаление всех разрешений	Нет разрешений

  3. Настройте следующие разрешения SMB уровня общей папки для папки каталога шаблонов параметров.

     Учетная запись пользователя	Рекомендуемые разрешения
     Все	Нет разрешений
     Компьютеры домена	Уровни разрешений на чтение
     Администраторы	Уровни разрешений на чтение и запись

  4. Задайте следующие разрешения NTFS для папки каталога шаблонов параметров.

     Учетная запись пользователя	Рекомендуемые разрешения	Применимо к
     Автор/владелец	Полный доступ	Эта папка, подпапки и файлы
     Компьютеры домена	Список содержимого папки и разрешения на чтение	Эта папка, подпапки и файлы
     Все	Нет разрешений	Нет разрешений
     Администраторы	Полный доступ	Эта папка, подпапки и файлы

Использование Windows Server с момента выхода Windows Server 2003 для размещения перенаправленных общих файловых ресурсов

Файлы пакетов параметров пользователей содержат персональные данные, передаваемые между клиентским компьютером и сервером, на котором хранятся пакеты параметров. В связи с этим процессом необходимо гарантировать защиту данных во время их передачи по сети.

Данные параметров пользователей уязвимы к следующим потенциальным угрозам: перехват данных при передаче по сети, подделка данных, передаваемых по сети, и спуфинг сервера, на котором размещаются данные.

Несколько компонентов Windows Server 2003 и более поздних версий ОС Windows Server служат для обеспечения безопасности данных пользователей:

• Kerberos — это стандарт для всех версий Microsoft Windows 2000 Server и Windows Server начиная с версии Windows Server 2003. Kerberos обеспечивает высочайший уровень безопасности сетевых ресурсов. NTLM проверяет подлинность только клиента, а Kerberos — подлинность клиента и сервера. При использовании протокола NTLM клиент не может проверить подлинность сервера. Такое различие особенно важно, если клиент обменивается персональными файлами с сервером, как в случае с роумингом профилей пользователей. Kerberos обеспечивает более высокий уровень безопасности, чем NTLM. Kerberos недоступен в Microsoft Windows NT Server 4.0 и в более ранних версиях операционной системы.

• IPsec — протокол IPsec обеспечивает проверку подлинности на уровне сети, целостность данных и шифрование. IPsec обеспечивает следующее:

  • защиту переносимых данных от изменения во время их передачи;

  • защиту переносимых данных от перехвата, просмотра или копирования;

  • защиту переносимых данных от несанкционированного доступа.

• Подписывание SMB — протокол проверки подлинности SMB поддерживает проверку подлинности сообщений, предотвращая атаки типа «активные сообщения» и «злоумышленник в середине». Подписывание SMB обеспечивает проверку подлинности благодаря добавлению цифровой подписи в каждый блок SMB. Цифровая подпись затем проверяется клиентом и сервером. Чтобы использовать подписывание SMB, необходимо сначала включить эту функцию или потребовать ее использования как на клиенте, так и на сервере SMB. Обратите внимание, что использование подписывания SMB приводит к снижению производительности. Этот режим не потребляет дополнительную полосу пропускания, однако использует больше циклов ЦП на стороне клиента и сервера.

Всегда используйте файловую систему NTFS для томов, на которых хранятся данные пользователей.

Чтобы обеспечить более безопасную конфигурацию, настройте на серверах, где размещаются файлы параметров UE-V, использование файловой системы NTFS. В отличие от файловой системы FAT система NTFS поддерживает списки управления доступом на уровне пользователей (DACL) и списки управления доступом системы (SACL). Списки DACL и SACL определяют, кто может управлять операциями с файлом и какие события запускают ведение журнала действий, выполняемых с файлом.

Не полагайтесь на функции EFS для шифрования файлов пользователей, передаваемых по сети.

Даже при использовании шифрованной файловой системы (EFS) для шифрования на удаленном сервере зашифрованные данные не шифруются во время передачи по сети; шифрование к ним применяется только при сохранении на диск.

Такой процесс шифрования не применяется при использовании системой протоколов IPsec и WebDAV. Протокол IPsec шифрует данные при их передаче по сети TCP/IP. Если файл зашифрован перед копированием или перемещением в папку WebDAV на сервере, он остается зашифрованным во время передачи и в течение хранения на сервере.

Предоставление агенту UE-V разрешения на создание папок для каждого пользователя

Чтобы гарантировать оптимальную работу UE-V, создайте только одну корневую общую папку на сервере и разрешите агенту UE-V создавать папки для каждого пользователя. UE-V создает такие папки с соблюдением всех необходимых мер безопасности.

Такая конфигурация разрешений позволяет пользователям создавать папки для хранения параметров. Агент UE-V создает и защищает папку пакета параметров во время выполнения в контексте пользователя. Пользователи получают полный доступ к своей папке пакета параметров. Другие пользователи не наследуют доступ к этой папке. Создавать отдельные папки пользователей и обеспечивать безопасность не требуется. Агент, запущенный в контексте пользователя, выполняет это автоматически.

Если необходимо создать папки для пользователей, убедитесь, что задан правильный набор разрешений.

Настоятельно рекомендуется не создавать папки предварительно. Вместо этого следует, чтобы агент UE-V создал папку для пользователя.

Проверка правильности разрешений для хранения параметров UE-V 2 в основном или настраиваемом каталоге

Если выполняется перенаправление параметров UE-V в основной каталог пользователя или настраиваемый каталог Active Directory (AD), убедитесь, что разрешения для каталога заданы в соответствии с требованиями организации.

Есть предложение для UE-V?

Выдвигайте предложения и голосуйте за них здесь. Ответы на вопросы, возникающие при работе с UE-V, можно найти на форуме TechNet по UE-V.

См. также

Другие ресурсы

Технические справочные сведения о UE-V 2.x