Вопросы безопасности UE-V 1.0

  • Статья

Назначение: User Experience Virtualization 1.0

В этой статье содержится краткий обзор учетных записей и групп, файлов журналов и других аспектов, связанных с безопасностью Microsoft User Experience Virtualization (UE-V). Для получения дополнительных сведений перейдите по ссылкам, содержащимся в этой статье.

Вопросы безопасности, связанные с настройкой UE-V

При создании общей папки хранения параметров ограничьте доступ к ним, предоставив его только тем пользователям, которым это необходимо.

Поскольку пакеты параметров могут содержать персональные данные, необходимо принять меры по их защите. Как правило, требуется выполнить следующие действия.

  • Ограничьте общий ресурс, предоставив его только пользователям, которым он необходим. Создайте группу безопасности для пользователей, имеющих перенаправленные папки в определенной общей папке, и предоставьте доступ только этим пользователям.

  • При создании общей папки скройте ее, добавив символ $ после имени папки. Это позволит скрыть общую папку из обычных браузеров, кроме того, она не будет отображаться в папке "Сетевое окружение".

  • Предоставьте пользователям только минимально необходимые разрешения. Необходимые разрешения приведены в таблицах ниже.

    1. Настройте для папки места хранения параметров следующие разрешения уровня общей папки (SMB).

      Учетная запись пользователя Рекомендуемые разрешения

      Все

      Нет разрешений

      Группа безопасности UE-V

      Полный доступ

    2. Задайте следующие разрешения NTFS для папки места хранения параметров.

      Учетная запись пользователя Рекомендуемые разрешения Папка

      Автор/владелец

      Нет разрешений

      Нет разрешений

      Администраторы домена

      Полный доступ

      Эта папка, подпапки и файлы

      Группа безопасности пользователей UE-V

      Содержимое папки/чтение данных, создание папок/добавление данных

      Только для этой папки

      Все

      Удаление всех разрешений

      Нет разрешений

    3. Настройте следующие разрешения уровня общей папки (SMB) для папки каталога шаблонов параметров.

      Учетная запись пользователя Рекомендуемые разрешения

      Все

      Нет разрешений

      Компьютеры домена

      Уровни разрешений на чтение

      Администраторы

      Уровни разрешений на чтение и запись

    4. Задайте следующие разрешения NTFS для папки каталога шаблонов параметров.

      Учетная запись пользователя Рекомендуемые разрешения Применимо к

      Автор/владелец

      Полный доступ

      Эта папка, подпапки и файлы

      Компьютеры домена

      Список содержимого папки и чтение

      Эта папка, подпапки и файлы

      Все

      Нет разрешений

      Нет разрешений

      Администраторы

      Полный доступ

      Эта папка, подпапки и файлы

Использование сервера Windows Server 2003 или более поздних версий для размещения общих папок перенаправленных файлов

Файлы пакетов параметров пользователей содержат персональные данные, передаваемые между клиентским компьютером и сервером, на котором хранятся пакеты параметров. В связи с этим необходимо гарантировать защиту данных во время их передачи по сети.

Данные параметров пользователей уязвимы к следующим потенциальным угрозам: перехват данных при передаче по сети, подделка данных, передаваемых по сети, и спуфинг сервера, на котором размещаются данные.

Различные компоненты Windows Server 2003 и более поздних версий служат для обеспечения безопасности данных пользователей.

  • Kerberos — Kerberos является стандартным протоколом безопасности для всех версий Windows 2000 и Windows Server 2003 и более поздних выпусков. Kerberos обеспечивает максимальный уровень безопасности для сетевых ресурсов. NTLM проверяет подлинность только клиента; Kerberos — подлинность клиента и сервера. При использовании протокола NTLM клиент не может проверить подлинность сервера. Это особенно важно, если клиент обменивается персональными файлами с сервером, как в случае с роумингом профилей. Kerberos обеспечивает более высокий уровень безопасности, чем NTLM. Протокол Kerberos недоступен в Windows NT 4.0 и более ранних версиях операционных систем.

  • IPsec — протокол IPsec отвечает за проверку подлинности уровня сети, целостность данных и шифрование. IPsec обеспечивает следующее:

    • защиту переносимых данных от изменения во время передачи;

    • защиту переносимых данных от перехвата, просмотра или копирования;

    • защиту переносимых данных от несанкционированного доступа.

  • Подписывание SMB — протокол проверки подлинности SMB поддерживает проверку подлинности сообщений, предотвращая атаки типа "активные сообщения" и "злоумышленник в середине". Подписывание SMB обеспечивает проверку подлинности благодаря добавлению цифровой подписи в каждый блок SMB. Цифровая подпись затем проверяется клиентом и сервером. Чтобы использовать подписывание SMB, необходимо сначала включить эту функцию или потребовать ее использования как на клиенте, так и на сервере SMB. Обратите внимание, что использование подписывания SMB приводит к снижению производительности. Этот режим не потребляет дополнительную полосу пропускания, однако использует больше циклов ЦП на стороне клиента и сервера.

Используйте файловую систему NTFS для томов, на которых хранятся данные пользователей.

Чтобы обеспечить более безопасную конфигурацию, настройте на серверах, где размещаются файлы параметров UE-V, использование файловой системы NTFS. В отличие от системы FAT NTFS поддерживает списки управления доступом на уровне пользователей (DACL) и списки управления доступом системы (SACL). Списки DACL и SACL определяют, кто может управлять операциями с файлом и какие события будут запускать ведение журнала действий, выполняемых с файлом.

Не полагайтесь на функции EFS для шифрования файлов пользователей, передаваемых по сети.

Даже при использовании шифрованной файловой системы (EFS) для шифрования на удаленном сервере зашифрованные данные не шифруются во время передачи по сети; шифрование к ним применяется только при сохранении на диск.

Исключения из данного режима возникают только при использовании системой протоколов IPsec и WebDAV. Протокол IPsec шифрует данные при их передаче по сети TCP/IP. Если файл зашифрован перед копированием или перемещением в папку WebDAV на сервере, он останется зашифрованным во время передачи и в течение хранения на сервере.

Шифрование кэша автономных файлов

По умолчанию кэш автономных файлов защищен на разделах NTFS с помощью списков управления доступом, однако шифрование кэша позволяет дополнительно повысить безопасность на локальном компьютере. По умолчанию кэш на локальном компьютере не шифруется, поэтому зашифрованные файлы, помещаемые в кэш из сети, не будут шифроваться на таком компьютере. Это может представлять угрозу безопасности в некоторых средах.

Если шифрование включено, шифруются все файлы в кэше автономных файлов. Шифрование выполняется для существующих файлов, а также для файлов, добавляемых позднее. Шифрование применяется к кэшированной копии на локальном компьютере, но не к связанной копии в сети.

Кэш может быть зашифрован одним из двух способов.

  1. С помощью групповой политики: включите параметр Шифрование кэша автономных файлов, расположенный в узле "Конфигурация компьютера\Административные шаблоны\Сеть\Автономные файлы" редактора групповой политики.

  2. Вручную: в меню команд Windows Explorer выберите "Сервис", а затем "Параметры папки". Перейдите на вкладку "Автономные файлы", а затем установите флажок Шифровать автономные файлы для защиты данных.

Предоставление агенту UE-V разрешения на создание папок для каждого пользователя

Чтобы гарантировать оптимальную работу UE-V, создайте только одну корневую общую папку на сервере и разрешите агенту UE-V создавать папки для каждого пользователя. UE-V будет создавать такие папки с соблюдением всех необходимых мер безопасности.

Такая конфигурация разрешений позволяет пользователям создавать папки для хранения параметров. Агент UE-V создает и защищает папку settingspackage во время выполнения в контексте пользователя. Пользователь получает полный доступ к папке settingspackage. Другие пользователи не наследуют доступ к этой папке. Создавать отдельные папки пользователей и обеспечивать безопасность не требуется. Эти действия будут автоматически выполняться агентом, запущенным в контексте пользователя.

Примечание

Дополнительные параметры безопасности можно настроить при использовании сервера Windows Server для размещения общей папки хранения параметров. Настройки UE-V позволяют проверять, является ли группа локальных администраторов или текущий пользователь владельцем папки, в которой хранятся пакеты параметров. Чтобы включить дополнительные параметры безопасности, используйте следующую команду.

  1. Добавьте раздел реестра REG_DWORD с именем RepositoryOwnerCheckEnabled в узел HKEY_LOCAL_MACHINE\Software\Microsoft\UEV\Agent\Configuration.

  2. Задайте значение раздела реестра равным единице.

При наличии этого параметра безопасности агент UE-V проверяет, является ли группа локальных администраторов или текущий пользователь владельцем папки settingspackage. В противном случае агент UE-V не будет разрешать доступ к папке.

При необходимости создайте папки для пользователей и убедитесь, что задан правильный набор разрешений.

Настоятельно рекомендуем не создавать папки заранее, более эффективным решением будет настройка для агента UE-V разрешения на создание папок для пользователей.

Убедитесь в том, что при хранении параметров UE-V в основном каталоге пользователя заданы правильные разрешения.

Если выполняется перенаправление параметров UE-V в основной каталог пользователя, убедитесь, что разрешения для основного каталога пользователя заданы в соответствии с требованиями организации.

См. также

Другие ресурсы

Безопасность и конфиденциальность для UE-V 1.0

-----
Дополнительные сведения о MDOP см. в библиотеке TechNet, сведения об устранении неполадок — на вики-сайте TechNet или присоединяйтесь к нам в Facebook или Twitter.
-----