App-V 5.0 安全性考量

適用於: Application Virtualization 5.0, Application Virtualization 5.0 SP1, Application Virtualization 5.0 SP2, Application Virtualization 5.0 SP3

本主題包含 App-V 5.0 之帳戶與群組、記錄檔和其他安全性相關考量的簡要概觀。

PackageStoreAccessControl (PSAC) 功能已過時

自 2014 年 6 月開始，在單一使用者和多使用者環境中，導入 Microsoft Application Virtualization (App-V) 5.0 Service Pack 2 (SP2) 中的 PackageStoreAccessControl (PSAC) 功能皆已過時。

一般安全性考量

了解安全性風險。 App-V 5.0 最嚴重的風險是其功能可能遭到未經授權的使用者攔截，接著該使用者便可重新設定 App-V 5.0 用戶端上的金鑰資料。拒絕服務攻擊所造成的 App-V 5.0 功能短暫喪失，通常並不會產生嚴重的後果。

實際保護您的電腦。如果缺少實體安全性，安全防護便不夠全面。任何人只要能夠存取 App-V 5.0 伺服器實體，便有可能攻擊整個用戶端群。您必須將所有實體攻擊視為高度風險並採取適當措施來避免這些攻擊。App-V 5.0 伺服器應存放在安全且設有進出管制的伺服器機房中。請透過作業系統鎖定電腦或使用安全的螢幕保護裝置，在系統管理員離開時保護這些電腦。

將最新的安全性更新套用到所有電腦。若要隨時掌握有關作業系統、Microsoft SQL Server 和 App-V 5.0 的最新更新資訊，請訂閱安全性通知服務 (https://go.microsoft.com/fwlink/p/?LinkId=28819)。

使用強式密碼或複雜密碼。所有 App-V 5.0 和 App-V 5.0 系統管理員帳戶應一律使用具有 15 個或更多字元的強式密碼。絕對不要使用空白密碼。如需密碼概念的詳細資訊，請參閱 TechNet 上的＜帳戶密碼與原則＞白皮書 (https://go.microsoft.com/fwlink/p/?LinkId=30009)。

App-V 5.0 中的帳戶和群組

使用者帳戶管理的最佳作法是建立網域全域群組並新增使用者帳戶到這些群組。接著再將網域全域帳戶新增到 App-V 5.0 伺服器上的必要 App-V 5.0 本機群組中。

App-V 5.0 伺服器安全性

App-V 5.0 安裝期間並不會自動建立任何群組。您應該建立下列 Active Directory 網域服務全域群組來管理 App-V 5.0 伺服器作業。

考慮下列其他資訊：

• 存取封裝共用 - 如果共用與管理伺服器存在於相同的電腦上，則 [網路] 服務會需要該共用的讀取權限。此外，每部 App-V 用戶端電腦必須要有封裝共用的讀取權限。

  注意

  在舊版 App-V 中，封裝共用稱為內容共用。

• 向管理伺服器登錄發佈伺服器 - 發佈伺服器必須向管理伺服器登錄。例如，必須將它加入至資料庫，使得發佈伺服器機器帳戶可以呼叫管理服務 API。

App-V 5.0 封裝安全性

以下資訊可協助您計劃確保虛擬化封裝安全的方式。

• 如果應用程式安裝程式對檔案或目錄套用存取控制清單 (ACL)，那麼該 ACL 便不會在封裝中保存。部署封裝時，如果使用者修改了檔案或目錄，便會繼承 %userprofile% 中的 ACL，或目標電腦目錄中的 ACL。如果虛擬檔案系統位置中不存在該檔案或目錄，便會發生第一個情況；而虛擬檔案系統位置中 (例如 %windir%) 存在該檔案或目錄，便會發生第二個情況。

App-V 5.0 記錄檔

在 App-V 5.0 安裝期間，系統會在安裝之使用者的 %temp% 資料夾中建立安裝記錄檔。

-

您對於 App-V 有任何建議嗎？

您可以在這裡加入您的建議，或對建議進行票選。您如有任何 App-V 方面的問題，可利用 App-V TechNet 論壇。

另請參閱

其他資源

Security and Privacy for App-V 5.0

-----
您可以在 TechNet Library 中深入瞭解 MDOP、在 TechNet Wiki 上搜尋疑難排解資訊，或是在 Facebook 或 Twitter 上追蹤我們的動態。
-----