Share via

Sicherheitsüberlegungen für UE-V 2.x

  • Artikel

Dieses Thema enthält eine kurze Übersicht über Konten und Gruppen, Protokolldateien und andere sicherheitsrelevante Überlegungen für Microsoft User Experience Virtualization (UE-V) 2.0, 2.1 und 2.1 SP1. Weitere Informationen finden Sie unter den hier bereitgestellten Links.

Sicherheitsüberlegungen für die UE-V-Konfiguration

Wichtig Wenn Sie die Einstellungsspeicherfreigabe erstellen, beschränken Sie den Freigabezugriff auf Benutzer, die Zugriff benötigen.

Da Einstellungspakete möglicherweise persönliche Informationen enthalten, sollten Sie darauf achten, sie so gut wie möglich zu schützen. Gehen Sie im Allgemeinen wie folgt vor:

  • Beschränken Sie die Freigabe auf die Benutzer, die Zugriff benötigen. Erstellen Sie eine Sicherheitsgruppe für Benutzer, die Ordner auf einer bestimmten Freigabe umgeleitet haben, und beschränken Sie den Zugriff auf diese Benutzer.

  • Wenn Sie die Freigabe erstellen, blenden Sie die Freigabe aus, indem Sie einen $ hinter den Freigabenamen setzen. Diese Ergänzung blendet die Freigabe vor ungezwungenen Browsern aus, und die Freigabe ist in "Meine Netzwerkplätze" nicht sichtbar.

  • Geben Sie Benutzern nur die mindest erforderliche Berechtigungsmenge. In den folgenden Tabellen sind die erforderlichen Berechtigungen aufgeführt.

    1. Legen Sie die folgenden SMB-Berechtigungen auf Freigabeebene für den Speicherortordner fest.

      Benutzerkonto Empfohlene Berechtigungen
      Jeder Keine Berechtigungen
      Sicherheitsgruppe von UE-V Vollzugriff

    2. Legen Sie die folgenden NTFS-Dateisystemberechtigungen für den Speicherortordner für Einstellungen fest.

      Benutzerkonto Empfohlene Berechtigungen Ordner
      Ersteller/Besitzer Vollzugriff Nur Unterordner und Dateien
      Domänenadministratoren Vollzugriff Dieser Ordner, Unterordner und Dateien
      Sicherheitsgruppe von UE-V-Benutzern Ordner auflisten/Daten lesen, Ordner erstellen/Daten anfügen Nur dieser Ordner
      Jeder Alle Berechtigungen entfernen Keine Berechtigungen

    3. Legen Sie die folgenden SMB-Berechtigungen auf Freigabeebene für den Katalogordner der Einstellungsvorlage fest.

      Benutzerkonto Berechtigungen empfehlen
      Jeder Keine Berechtigungen
      Domänencomputer Berechtigungsstufen lesen
      Administratoren Lese-/Schreibberechtigungsstufen

    4. Legen Sie die folgenden NTFS-Berechtigungen für den Katalogordner der Einstellungsvorlage fest.

      Benutzerkonto Empfohlene Berechtigungen Anwenden auf
      Ersteller/Besitzer Vollzugriff Dieser Ordner, Unterordner und Dateien
      Domänencomputer Ordnerinhalte und Leseberechtigungen auflisten Dieser Ordner, Unterordner und Dateien
      Jeder Keine Berechtigungen Keine Berechtigungen
      Administratoren Vollzugriff Dieser Ordner, Unterordner und Dateien

Verwenden von Windows Server ab Windows Server 2003 zum Hosten umgeleiteter Dateifreigaben

Paketdateien für Benutzereinstellungen enthalten persönliche Informationen, die zwischen dem Clientcomputer und dem Server übertragen werden, auf dem die Einstellungspakete gespeichert sind. Aufgrund dieses Vorgangs sollten Sie sicherstellen, dass die Daten geschützt sind, während sie über das Netzwerk übertragen werden.

Benutzereinstellungsdaten sind anfällig für diese potenziellen Bedrohungen: Abfangen der Daten, während sie über das Netzwerk übertragen werden, Manipulation der Daten während der Übergabe über das Netzwerk und Spoofing des Servers, der die Daten hostet.

Ab Windows Server 2003 können mehrere Features des Windows Server-Betriebssystems zum Sichern von Benutzerdaten beitragen:

  • Kerberos – Kerberos ist standard für alle Versionen von Microsoft Windows 2000 Server und Windows Server ab Windows Server 2003. Kerberos gewährleistet die höchste Sicherheitsstufe für Netzwerkressourcen. NTLM authentifiziert nur den Client. Kerberos authentifiziert den Server und den Client. Wenn NTLM verwendet wird, weiß der Client nicht, ob der Server gültig ist. Dieser Unterschied ist besonders wichtig, wenn der Client persönliche Dateien mit dem Server austauscht, wie dies bei Roamingbenutzerprofilen der Fall ist. Kerberos bietet eine bessere Sicherheit als NTLM. Kerberos ist unter microsoft Windows NT Server 4.0 oder früheren Betriebssystemen nicht verfügbar.

  • IPsec – Das IP-Sicherheitsprotokoll (IPsec) bietet Authentifizierung, Datenintegrität und Verschlüsselung auf Netzwerkebene. IPsec stellt Folgendes sicher:

    • Roamingdaten sind sicher vor Datenänderungen, während daten unterwegs sind.

    • Roamingdaten sind sicher vor Abfangen, Anzeigen oder Kopieren.

    • Roamingdaten sind vor dem Zugriff durch nicht authentifizierte Parteien sicher.

  • SMB-Signierung – Das SMB-Authentifizierungsprotokoll (Server Message Block) unterstützt die Nachrichtenauthentifizierung, wodurch aktive Nachrichten und "Man-in-the-Middle"-Angriffe verhindert werden. Die SMB-Signatur stellt diese Authentifizierung bereit, indem in jedem SMB eine digitale Signatur platziert wird. Die digitale Signatur wird dann sowohl vom Client als auch vom Server überprüft. Um die SMB-Signatur verwenden zu können, müssen Sie sie zuerst entweder aktivieren oder sowohl auf dem SMB-Client als auch auf dem SMB-Server anfordern. Beachten Sie, dass die SMB-Signatur eine Leistungseinbuße erzwingt. Es verbraucht nicht mehr Netzwerkbandbreite, verwendet aber mehr CPU-Zyklen auf client- und serverseitiger Seite.

Verwenden Sie immer das NTFS-Dateisystem für Volumes, die Benutzerdaten enthalten

Konfigurieren Sie für die sicherste Konfiguration Server, die die UE-V-Einstellungsdateien hosten, so, dass das NTFS-Dateisystem verwendet wird. Im Gegensatz zum FAT-Dateisystem unterstützt NTFS Discretionary Access Control Lists (DACLs) und Systemzugriffssteuerungslisten (SACLs). DACLs und SACLs steuern, wer Vorgänge für eine Datei ausführen kann und welche Ereignisse die Protokollierung von Aktionen auslösen, die für eine Datei ausgeführt werden.

Verlassen Sie sich nicht auf EFS, um Benutzerdateien zu verschlüsseln, wenn sie über das Netzwerk übertragen werden

Wenn Sie das Verschlüsselnde Dateisystem (Encrypting File System, EFS) zum Verschlüsseln von Dateien auf einem Remoteserver verwenden, werden die verschlüsselten Daten während der Übertragung über das Netzwerk nicht verschlüsselt. es wird nur verschlüsselt, wenn es auf dem Datenträger gespeichert ist.

Dieser Verschlüsselungsprozess gilt nicht, wenn Ihr System Internetprotokollsicherheit (Internet Protocol Security, IPsec) oder Web Distributed Authoring and Versioning (WebDAV) umfasst. IPsec verschlüsselt Daten, während sie über ein TCP/IP-Netzwerk transportiert werden. Wenn die Datei verschlüsselt ist, bevor sie kopiert oder in einen WebDAV-Ordner auf einem Server verschoben wird, bleibt sie während der Übertragung und während der Speicherung auf dem Server verschlüsselt.

Zulassen, dass der UE-V-Agent Ordner für jeden Benutzer erstellt

Um sicherzustellen, dass UE-V optimal funktioniert, erstellen Sie nur die Stammfreigabe auf dem Server, und lassen Sie den UE-V-Agent die Ordner für jeden Benutzer erstellen. UE-V erstellt diese Benutzerordner mit der entsprechenden Sicherheit.

Mit dieser Berechtigungskonfiguration können Benutzer Ordner für den Einstellungsspeicher erstellen. Der UE-V-Agent erstellt und sichert einen Einstellungspaketordner, während er im Kontext des Benutzers ausgeführt wird. Benutzer erhalten vollumfängliche Kontrolle über ihren Einstellungspaketordner. Andere Benutzer erben den Zugriff auf diesen Ordner nicht. Sie müssen keine einzelnen Benutzerverzeichnisse erstellen und sichern. Der Agent, der im Kontext des Benutzers ausgeführt wird, führt ihn automatisch aus.

Hinweis Zusätzliche Sicherheit kann konfiguriert werden, wenn ein Windows Server für die Einstellungsspeicherfreigabe verwendet wird. UE-V kann konfiguriert werden, um zu überprüfen, ob die lokale Administratorgruppe oder der aktuelle Benutzer der Besitzer des Ordners ist, in dem Einstellungspakete gespeichert sind. Verwenden Sie den folgenden Befehl, um zusätzliche Sicherheit zu aktivieren:

  1. Fügen Sie den REG_DWORD Registrierungsschlüssel RepositoryOwnerCheckEnabled hinzu HKEY_LOCAL_MACHINE\Software\Microsoft\UEV\Agent\Configuration.

  2. Legen Sie den Registrierungsschlüsselwert auf 1 fest.

Wenn diese Konfigurationseinstellung aktiviert ist, überprüft der UE-V-Agent, dass die lokale Administratorgruppe oder der aktuelle Benutzer der Besitzer des Einstellungspaketordners ist. Andernfalls gewährt der UE-V-Agent keinen Zugriff auf den Ordner.

Wenn Sie Ordner für die Benutzer erstellen müssen, stellen Sie sicher, dass Sie die richtigen Berechtigungen festgelegt haben.

Es wird dringend empfohlen, ordner nicht vorab zu erstellen. Lassen Sie den UE-V-Agent stattdessen den Ordner für den Benutzer erstellen.

Sicherstellen der richtigen Berechtigungen zum Speichern von UE-V 2-Einstellungen in einem Startverzeichnis oder benutzerdefinierten Verzeichnis

Wenn Sie UE-V-Einstellungen in das Startverzeichnis eines Benutzers oder ein benutzerdefiniertes Active Directory (AD)-Verzeichnis umleiten, stellen Sie sicher, dass die Berechtigungen für das Verzeichnis für Ihre Organisation entsprechend festgelegt sind.

Technische Referenz für UE-V 2.x