Аспекты обеспечения безопасности для App-V 5.0
Назначение: Application Virtualization 5.0, Application Virtualization 5.0 SP1, Application Virtualization 5.0 SP2, Application Virtualization 5.0 SP3
В данной статье приводится краткий обзор учетных записей и групп, файлов журналов и других аспектов обеспечения безопасности для App-V 5.0.
Важно!
App-V 5.0 не является продуктом для обеспечения безопасности и не гарантирует безопасную среду.
Функция PackageStoreAccessControl (PSAC) упразднена
С июня 2014 года функция PackageStoreAccessControl (PSAC), впервые реализованная в Microsoft Application Virtualization (App-V) 5.0 с пакетом обновления 2 (SP2), упразднена как в однопользовательских, так и в многопользовательских средах.
Общие требования к безопасности
Осознавайте риски безопасности. Самый серьезный риск для App-V 5.0 состоит в перехвате его функциональных возможностей неуполномоченным пользователем, который может перенастроить ключевые данные для клиентов App-V 5.0. Кратковременная потеря доступа к функциональным возможностям App-V 5.0 в результате атаки типа "отказ в обслуживании" обычно не оказывает существенного негативного влияния.
Физическая защита компьютеров. Безопасность не будет полной без физической защиты. Любой человек с физическим доступом к серверу App-V 5.0 может провести атаку на всю клиентскую базу. Любые потенциальные физические атаки следует относить к повышенному риску и соответствующим образом предотвращать. Серверы App-V 5.0 следует располагать в физически защищенной серверной с контролируемым доступом. На время отсутствия администраторов обеспечивайте защиту таких компьютеров с помощью блокировки компьютера операционной системой или заставки с функциями безопасности.
Установка последних обновлений на все компьютеры. Чтобы быть в курсе всех последних обновлений для операционных систем, Microsoft SQL Server и App-V 5.0, подпишитесь на службу уведомлений о безопасности Security Notification (https://go.microsoft.com/fwlink/p/?LinkId=28819).
Используйте надежные пароли и парольные фразы. Всегда используйте надежные пароли, состоящие из 15 и более символов, для всех учетных записей администраторов App-V 5.0 и App-V 5.0. Никогда не используйте пустые пароли. Дополнительные сведения о разных аспектах использования паролей см. в техническом документе о паролях учетных записей и политиках на сайте TechNet (https://go.microsoft.com/fwlink/p/?LinkId=30009).
Учетные записи и группы в App-V 5.0
Лучшая методика управления учетными записями пользователей заключается в создании глобальных доменных групп и добавлении в них учетных записей пользователей. После этого глобальные учетные записи домена необходимо добавить в требуемые локальные группы App-V 5.0 на серверах App-V 5.0.
Примечание
Учетные записи клиентских компьютеров App-V, которые нужно подключить к серверу публикации, должны входить в локальную группу Пользователи сервера публикации. По умолчанию все компьютеры в домене входят в группу Авторизованные пользователи, которая, в свою очередь, входит в локальную группу Пользователи.
Безопасность сервера App-V 5.0
Во время установки App-V 5.0 автоматическое создание групп не выполняется. Для управления операциями сервера App-V 5.0 необходимо создать описанные ниже глобальные группы доменных служб Active Directory.
| Имя группы | Сведения |
|---|---|
Группа администраторов управления App-V |
Используется для управления сервером управления App-V 5.0. Эта группа создается во время установки сервера управления App-V 5.0. Важно! Создать эту группу через консоль управления после завершения установки невозможно. |
Право на чтение и запись в базе данных для учетной записи службы управления |
Предоставляет доступ к базе данных управления с правом чтения и записи данных. Эта учетная запись должна создаваться во время установки базы данных управления App-V 5.0. |
Учетная запись администратора установки службы управления App-V Примечание Эта учетная запись требуется только в том случае, если база данных управления устанавливается отдельно от службы. |
Предоставляет общий доступ к таблице версий схемы в базе данных управления. Эта учетная запись должна создаваться во время установки базы данных управления App-V 5.0. |
Учетная запись администратора установки службы отчетов App-V Примечание Эта учетная запись требуется только в том случае, если база данных отчетов устанавливается отдельно от службы. |
Общий доступ к таблице версий схемы в базе данных отчетов. Эта учетная запись должна создаваться во время установки базы данных отчетов App-V 5.0. |
Необходимо принимать во внимание следующие дополнительные сведения.
Доступ к общим папкам пакета. Если общая папка находится на одном компьютере с сервером управления, то сетевой службе необходим доступ для чтения к этой общей папке. Кроме того, каждый клиентский компьютер App-V должен иметь доступ для чтения к общей папке пакета.
Примечание
В предыдущих версиях App-V общая папка пакета называлась общим ресурсом контента.
Регистрация серверов публикации с помощью сервера управления. Сервер публикации должен быть зарегистрирован с помощью сервера управления. Например, его необходимо добавить в базу данных, чтобы учетные записи компьютера сервера публикации могли обращаться к API службы управления.
Безопасность пакетов App-V 5.0
Следующие сведения помогут планировать защиту безопасности виртуализированных пакетов.
- Если установщик приложения применяет к файлу или каталогу список управления доступом (ACL), этот ACL не сохраняется в пакете. Если к моменту развертывания пакета файл или каталог не будут изменены пользователем, они унаследуют ACL либо из %userprofile%, либо из каталога целевого компьютера. Первое происходит, если файл или каталог не существуют в виртуальной файловой системе; второе происходит, если файл или каталог существуют в виртуальной файловой системе, например в папке %windir%.
Файлы журналов App-V 5.0
Во время установки App-V 5.0 файлы журнала установки создаются в папке %temp% пользователя, выполняющего установку.
-
Есть предложение для App-V?
Выдвигайте предложения и голосуйте за них здесь. Ответы на вопросы, возникающие при работе с App-V, можно найти на форуме TechNet по App-V.
См. также
Другие ресурсы
Security and Privacy for App-V 5.0
-----
Дополнительные сведения о MDOP можно найти в библиотеке TechNet, статьях по устранению неполадок на вики-сайте TechNet или подписавшись на новости в Facebook или Twitter.
-----