Sicherheitsüberlegungen zu App-V 5.0
Dieses Thema enthält eine kurze Übersicht über die Konten und Gruppen, Protokolldateien und andere sicherheitsrelevante Überlegungen für App-V 5.0.
Wichtig
App-V 5.0 ist kein Sicherheitsprodukt und bietet keine Garantie für eine sichere Umgebung.
Das Feature PackageStoreAccessControl (PSAC) ist veraltet.
Seit Juni 2014 ist das Feature PackageStoreAccessControl (PSAC), das in Microsoft Application Virtualization (App-V) 5.0 Service Pack 2 (SP2) eingeführt wurde, sowohl in Einzelbenutzer- als auch in Mehrbenutzerumgebungen veraltet.
Allgemeine Sicherheitsüberlegungen
Verstehen Sie die Sicherheitsrisiken. Das gravierendste Risiko für App-V 5.0 besteht darin, dass seine Funktionalität von einem nicht autorisierten Benutzer übernommen werden könnte, der dann wichtige Daten auf App-V 5.0-Clients neu konfigurieren könnte. Der Verlust der App-V 5.0-Funktionalität für einen kurzen Zeitraum aufgrund eines Denial-of-Service-Angriffs hätte im Allgemeinen keine katastrophalen Auswirkungen.
Sichern Sie Ihre Computer physisch. Die Sicherheit ist unvollständig, ohne physische Sicherheit. Jeder Benutzer mit physischem Zugriff auf einen App-V 5.0-Server könnte potenziell die gesamte Clientbasis angreifen. Alle potenziellen physischen Angriffe müssen als hohes Risiko betrachtet und entsprechend abgemildert werden. App-V 5.0-Server sollten in einem physisch sicheren Serverraum mit kontrolliertem Zugriff gespeichert werden. Sichern Sie diese Computer, wenn Administratoren nicht physisch anwesend sind, indem Sie das Betriebssystem den Computer sperren lassen oder indem Sie einen gesicherten Bildschirmschoner verwenden.
Wenden Sie die neuesten Sicherheitsupdates auf alle Computer an. Um über die neuesten Updates für Betriebssysteme, Microsoft SQL Server und App-V 5.0 informiert zu bleiben, abonnieren Sie den Sicherheitsbenachrichtigungsdienst (https://go.microsoft.com/fwlink/p/?LinkId=28819).
Verwenden Sie sichere Kennwörter oder übergeben Sie Ausdrücke. Verwenden Sie für alle App-V 5.0- und App-V 5.0-Administratorkonten immer sichere Kennwörter mit 15 oder mehr Zeichen. Verwenden Sie niemals leere Kennwörter. Weitere Informationen zu Kennwortkonzepten finden Sie im Whitepaper "Kontokennwörter und -richtlinien" auf TechNet (https://go.microsoft.com/fwlink/p/?LinkId=30009).
Konten und Gruppen in App-V 5.0
Eine bewährte Methode für die Verwaltung von Benutzerkontos besteht darin, globale Domänengruppen zu erstellen und ihnen Benutzerkonten hinzuzufügen. Fügen Sie dann die globalen Domänenkonten zu den erforderlichen lokalen App-V 5.0-Gruppen auf den App-V 5.0-Servern hinzu.
Hinweis
App-V-Clientcomputerkonten, die eine Verbindung mit dem Veröffentlichungsserver herstellen müssen, müssen Teil der lokalen Gruppe "Benutzer " des Veröffentlichungsservers sein. Standardmäßig sind alle Computer in der Domäne Teil der Gruppe "Autorisierte Benutzer ", die Teil der lokalen Gruppe "Benutzer " ist.
App-V 5.0-Serversicherheit
Während des App-V 5.0-Setups werden keine Gruppen automatisch erstellt. Sie sollten die folgenden Active Directory Domain Services globalen Gruppen erstellen, um App-V 5.0-Servervorgänge zu verwalten.
| Gruppenname | Details |
|---|---|
Gruppe "App-V-Verwaltung Admin" |
Wird zum Verwalten des App-V 5.0-Verwaltungsservers verwendet. Diese Gruppe wird während der Installation des App-V 5.0-Verwaltungsservers erstellt.
Wichtig
Es gibt keine Methode zum Erstellen der Gruppe mithilfe der Verwaltungskonsole, nachdem Sie die Installation abgeschlossen haben. |
Lese-/Schreibzugriff der Datenbank für das Verwaltungsdienstkonto |
Bietet Lese-/Schreibzugriff auf die Verwaltungsdatenbank. Dieses Konto sollte während der Installation der App-V 5.0-Verwaltungsdatenbank erstellt werden. |
App-V-Verwaltungsdienst – Administratorkonto installieren
Hinweis
Dies ist nur erforderlich, wenn die Verwaltungsdatenbank separat vom Dienst installiert wird. |
Ermöglicht den öffentlichen Zugriff auf die Schemaversionstabelle in der Verwaltungsdatenbank. Dieses Konto sollte während der Installation der App-V 5.0-Verwaltungsdatenbank erstellt werden. |
App-V Reporting Service – Administratorkonto installieren
Hinweis
Dies ist nur erforderlich, wenn die Berichtsdatenbank separat vom Dienst installiert wird. |
Öffentlicher Zugriff auf die Schemaversionstabelle in der Berichtsdatenbank. Dieses Konto sollte während der App-V 5.0-Berichtsdatenbankinstallation erstellt werden. |
Berücksichtigen Sie die folgenden zusätzlichen Informationen:
Zugriff auf die Paketfreigaben: Wenn eine Freigabe auf demselben Computer wie der Verwaltungsserver vorhanden ist, benötigt der Netzwerkdienst Lesezugriff auf die Freigabe. Darüber hinaus muss jeder App-V-Clientcomputer Lesezugriff auf die Paketfreigabe haben.
Hinweis
In früheren Versionen von App-V wurde die Paketfreigabe als Inhaltsfreigabe bezeichnet.Registrieren von Veröffentlichungsservern beim Verwaltungsserver – Ein Veröffentlichungsserver muss beim Verwaltungsserver registriert werden. Sie muss beispielsweise der Datenbank hinzugefügt werden, damit die Konten des Veröffentlichungsservercomputers die Verwaltungsdienst-API aufrufen können.
App-V 5.0-Paketsicherheit
Im Folgenden erfahren Sie, wie Sie sicherstellen können, dass virtualisierte Pakete sicher sind.
- Wenn ein Anwendungsinstallationsprogramm eine Zugriffssteuerungsliste (Access Control List, ACL) auf eine Datei oder ein Verzeichnis anwendet, wird diese ACL nicht im Paket gespeichert. Wenn das Paket bereitgestellt wird und die Datei oder das Verzeichnis von einem Benutzer geändert wird, erbt es entweder die ACL im %userprofile% - oder die ACL des Zielcomputerverzeichnisses. Der erste Fall tritt auf, wenn die Datei oder das Verzeichnis nicht in einem virtuellen Dateisystemspeicherort vorhanden ist; der zweite Fall tritt auf, wenn die Datei oder das Verzeichnis in einem virtuellen Dateisystemspeicherort vorhanden ist, z. B. %windir%.
App-V 5.0-Protokolldateien
Während des App-V 5.0-Setups werden Setupprotokolldateien im Ordner "%temp%" des installierenden Benutzers erstellt.