MED-V のセキュリティのベスト プラクティス

  • [アーティクル]

適用対象: Microsoft Enterprise Desktop Virtualization 2.0

MED-V ワークスペースの展開中も展開後も、ユーザーの情報を守り、組織のセキュリティを維持するのは、管理者の役目の 1 つです。ここでは、管理者にとって特に注意が必要な事項を説明します。

  • MED-V ワークスペースの Internet Explorer をカスタマイズする場合: Windows オペレーティング システムと Internet Explorer の旧バージョンは、現在のバージョンほど安全ではありません。このため、MED-V ワークスペースの Internet Explorer は、セキュリティを侵害する可能性のある閲覧や他の操作が行えないように構成されています。さらに、MED-V ワークスペースの Internet Explorer のインターネット セキュリティ ゾーンは、最高レベルに設定されています。既定では、どちらの構成も、MED-V ワークスペース パッケージャーで MED-V ワークスペース パッケージを作成するときに設定されます。

    Internet Explorer 管理者キット (IEAK) を使用するか、MED-V ワークスペース パッケージャーの既定値を変更して、MED-V ワークスペースの Internet Explorer をカスタマイズすることができます。ただし、カスタマイズすることにより安全性が下がる場合は、Internet Explorer の旧バージョンに存在するセキュリティ リスクに組織を曝す可能性があることに注意してください。

    セキュリティの観点から見ると、MED-V ワークスペースの Internet Explorer 管理のベスト プラクティスは、次のようになります。

    • MED-V ワークスペース パッケージを作成するときに、MED-V ワークスペースの Internet Explorer でセキュリティを侵害する可能性のある閲覧や他の操作が行われるのを防ぐ既定の設定のままにします。

    • MED-V ワークスペース パッケージを作成するときに、インターネット セキュリティ ゾーンを最高レベルにする既定の設定のままにします。

    • エンタープライズのプロキシか、Internet Explorer コンテンツ アドバイザーで、会社のイントラネットの外にあるドメインがブロックされるように構成します。

  • 共有コンピューターの全ユーザー用の MED-V ワークスペースを構成する場合: MED-V ワークスペースに、共有コンピューターのすべてのユーザーがアクセスできるように構成する場合は、ゲスト仮想マシン (VHD) が、システムのすべてのユーザーが読み取りアクセスと書き込みアクセスを持つ場所に配置されることに注意してください。

  • ドメインに参加するためのプロキシ アカウントを構成する場合: 仮想マシンがプロキシ アカウントでドメインに参加するように構成すると、エンド ユーザーがそのプロキシ アカウントの資格情報を取得する可能性があります。そのため、この資格情報がエンド ユーザーに使用されてもセキュリティの問題が発生しないように、アカウントの権限を制限するなどの予防策を講じてください。

  • Sysprep を構成する場合: Sysprep.inf ファイルは既定で暗号化されますが、仮想マシンにログオンできるエンド ユーザーが、その内容を解読できないという保証はありません。Sysprep.inf ファイルには、資格情報だけでなく Windows のプロダクト キーも含まれているので、解読されるとセキュリティが侵害される可能性があります。

    このようなリスクを抑えるには、仮想マシンのドメイン参加用アカウントの権限を制限し、Sysprep を構成するときにその資格情報を指定します。または、Sysprep と初回セットアップが有人モードで実行されるように構成し、仮想マシンをドメインに参加させるには、エンド ユーザーが自分の資格情報を入力しなければならないようにします。

    MED-V のベスト プラクティスは、リモート デスクトップ接続 (RDC) クライアント経由でゲストに接続する権限をエンド ユーザーに付与するアカウントで、FtsCompletion.exe が実行されるように指定することです。

  • エンド ユーザーを認証する場合: エンド ユーザーの資格情報のキャッシュを有効にすると、エンド ユーザーにとっては便利になりますが、そのエンド ユーザーの資格情報に他者がアクセスできる可能性があります。このリスクを抑える唯一の方法は、MED-V ワークスペース パッケージャーで、エンド ユーザーの資格情報が保存されないように指定することです。エンド ユーザーの認証の詳細については、「MED-V のエンド ユーザーの認証」を参照してください。

参照:

タスク

操作時のトラブルシューティング

その他のリソース

Microsoft Enterprise Desktop Virtualization 2.0

この情報は役に立ちましたか?MED-V のドキュメントに関するご意見ご感想を次のアドレスに送信してください。 medvdocs@microsoft.com