Überlegungen zur App-V-Sicherheit
Gilt für:
- Windows 10
- Windows 11
Dieser Artikel enthält eine kurze Übersicht über die Konten und Gruppen, Protokolldateien und andere sicherheitsbezogene Überlegungen für Microsoft Application Virtualization (App-V).
Wichtig
App-V ist kein Sicherheitsprodukt und bietet keine Garantien für eine sichere Umgebung.
Das Feature PackageStoreAccessControl (PSAC) ist veraltet.
Ab Juni 2014 ist das in Microsoft Application Virtualization (App-V) 5.0 Service Pack 2 (SP2) eingeführte Feature PackageStoreAccessControl (PSAC) sowohl in Einzelbenutzerumgebungen als auch in Umgebungen mit mehreren Benutzern veraltet.
Allgemeine Sicherheitsüberlegungen
Machen Sie sich mit den Sicherheitsrisiken vertraut. Das schwerwiegendste Risiko für App-V besteht darin, dass nicht autorisierte Benutzer die Funktionalität eines App-V-Clients kapern und dem Hacker die Möglichkeit geben, Schlüsseldaten auf App-V-Clients neu zu konfigurieren. Im Vergleich dazu wäre der kurzfristige Verlust der App-V-Funktionalität durch einen Denial-of-Service-Angriff nicht so katastrophal.
Schützen Sie Ihre Computer physisch. Eine Sicherheitsstrategie, bei der die physische Sicherheit nicht berücksichtigt wird, ist unvollständig. Jeder mit physischem Zugriff auf einen App-V-Server könnte potenziell die gesamte Clientbasis angreifen, sodass potenzielle physische Angriffe oder Diebstähle um jeden Preis verhindert werden sollten. App-V-Server sollten in einem physisch sicheren Serverraum mit kontrolliertem Zugriff gespeichert werden. Sperren Sie den Computer mit dem Betriebssystem oder einem geschützten Bildschirmschoner, um die Sicherheit der Computer zu gewährleisten, wenn die Administratoren nicht da sind.
Wenden Sie die neuesten Sicherheitsupdates auf alle Computer an. Informationen zu den neuesten Updates für Betriebssysteme, Microsoft SQL Server und App-V finden Sie im Microsoft Security TechCenter. (DIESER LINK MUSS AKTUALISIERT WERDEN)
Verwenden Sie sichere Kennwörter oder Passphrasen. Verwenden Sie für alle App-V- und App-V-Administratorkonten immer sichere Kennwörter mit mindestens 15 Zeichen. Verwenden Sie niemals leere Kennwörter. Weitere Informationen zu Kennwortkonzepten finden Sie unter Kennwortrichtlinie und sichere Kennwörter. (DIESER LINK MUSS AKTUALISIERT WERDEN)
Konten und Gruppen in App-V
Eine bewährte Methode für die Benutzerkontenverwaltung besteht darin, globale Domänengruppen zu erstellen und ihnen Benutzerkonten hinzuzufügen. Fügen Sie anschließend die globalen Domänenkonten den erforderlichen lokalen App-V-Gruppen auf den App-V-Servern hinzu.
Hinweis
App-V-Clientcomputerkonten, die eine Verbindung mit dem Veröffentlichungsserver herstellen müssen, müssen Teil der lokalen Gruppe Benutzer des Veröffentlichungsservers sein. Standardmäßig sind alle Computer in der Domäne Teil der Gruppe Autorisierte Benutzer , die Teil der lokalen Gruppe Benutzer ist.
App-V-Serversicherheit
Während des App-V-Setups werden keine Gruppen automatisch erstellt. Sie sollten die folgenden Active Directory Domain Services globalen Gruppen erstellen, um App-V-Servervorgänge zu verwalten.
| Gruppenname | Details | Wichtige Hinweise |
|---|---|---|
| App-V-Verwaltungsgruppe Admin | Wird zum Verwalten des App-V-Verwaltungsservers verwendet. Diese Gruppe wird während der Installation des App-V-Verwaltungsservers erstellt. | Die Verwaltungskonsole kann nach Abschluss der Installation keine neue Gruppe erstellen. |
| Datenbanklese-/Schreibzugriff für das Verwaltungsdienstkonto | Bietet Lese-/Schreibzugriff auf die Verwaltungsdatenbank. Dieses Konto sollte während der Installation der App-V-Verwaltungsdatenbank erstellt werden. | |
| Administratorkonto für app-V-Verwaltungsdienst installieren | Bietet öffentlichen Zugriff auf die Schemaversionstabelle in der Verwaltungsdatenbank. Dieses Konto sollte während der Installation der App-V-Verwaltungsdatenbank erstellt werden. | Dieses Konto ist nur erforderlich, wenn die Verwaltungsdatenbank separat vom Dienst installiert wird. |
| Administratorkonto für App-V Reporting Service installieren | Öffentlicher Zugriff auf die Schemaversionstabelle in der Berichtsdatenbank. Dieses Konto sollte während der Installation der App-V-Berichtsdatenbank erstellt werden. | Dieses Konto ist nur erforderlich, wenn die Berichtsdatenbank separat vom Dienst installiert wird. |
Beachten Sie die folgenden zusätzlichen Informationen:
- Zugriff auf die Paketfreigaben: Wenn eine Freigabe auf demselben Computer wie der Verwaltungsserver vorhanden ist, benötigt der Netzwerkdienst Lesezugriff auf die Freigabe. Darüber hinaus muss jeder App-V-Clientcomputer über Lesezugriff auf die Paketfreigabe verfügen.
Hinweis
In früheren Versionen von App-V wurde die Paketfreigabe als Inhaltsfreigabe bezeichnet.
- Registrieren von Veröffentlichungsservern beim Verwaltungsserver: Ein Veröffentlichungsserver muss beim Verwaltungsserver registriert werden. Sie muss z. B. der Datenbank hinzugefügt werden, damit die Computerkonten des Veröffentlichungsservers die Verwaltungsdienst-API aufrufen können.
App-V-Paketsicherheit
Die folgenden Informationen helfen Ihnen bei der Planung, wie Sie sicherstellen können, dass virtualisierte Pakete sicher sind.
- Wenn ein Anwendungsinstallationsprogramm eine Zugriffssteuerungsliste (Access Control List, ACL) auf eine Datei oder ein Verzeichnis anwendet, wird diese ACL nicht im Paket beibehalten. Wenn die Datei oder das Verzeichnis bei der Bereitstellung des Pakets von einem Benutzer geändert wird, erbt die geänderte Datei oder das geänderte Verzeichnis entweder die Zugriffssteuerungsliste im %userprofile% oder erbt die ACL des Verzeichnisses des Zielcomputers. Ersteres tritt auf, wenn die Datei oder das Verzeichnis nicht an einem virtuellen Dateisystemspeicherort vorhanden ist. Letzteres tritt auf, wenn die Datei oder das Verzeichnis an einem virtuellen Dateisystemspeicherort vorhanden ist, z. B. %windir%.
App-V-Protokolldateien
Während des App-V-Setups werden Setupprotokolldateien im Ordner %temp% des installierenden Benutzers erstellt.