クライアント セキュリティの計画

  • [アーティクル]

適用対象: Application Virtualization

App-V Client には、以前のバージョンの製品にはなかったセキュリティ強化機能がいくつか追加されています。これらの変更のため、インストールおよびその後のクライアント設定の構成により、改善されたセキュリティを提供します。ここでは、これらの強化機能の一部について説明し、プロセスの計画中に検討すべき重要なセキュリティ関連の構成設定を挙げます。仮想アプリケーションは実行可能ファイルであることに注意することが重要で、これらの資産が承認されていないユーザーにより改ざんされないようにすることが必要です。そのため、Open Software Descriptor (OSD) ファイル キャッシュはこのトピックで後述されるように保護されています。公開およびストリーミングの保護には RTSPS、HTTPS、および IPSec を使用することを強くお勧めします。

App-V Client のセキュリティ

既定では、App-V Client のインストール時に、ユーザーが公開の更新を行いアプリケーションを起動するために最小限必要なアクセス許可を持つように構成されます。App-V Client に搭載されている他のセキュリティ強化機能には、次のものがあります。

  • 既定では、OSD ファイル キャッシュは、管理者により公開更新プロセスを使用してのみ更新可能です。

  • ログ ファイル (sftlog.txt) は、クライアントのローカル管理者権限を持つアカウントでのみアクセス可能です。

  • 現在、ログ ファイルは最大サイズです。

ファイルの種類の関連付け

既定では、クライアントのインストールで OSD ファイル用にファイルの種類の関連付け (FTA) が登録されます。これによりユーザーはショートカットからではなく OSD ファイルから直接アプリケーションを起動できます。ローカル管理者権限を持つユーザーが電子メール経由または Web サイトからダウンロードして悪質なコードを含む OSD ファイルを受け取った場合、クライアントがアプリケーションの追加許可を制限するように設定されていても、ユーザーは OSD ファイルを開いてアプリケーションを起動できます。このようなリスクを軽減するために、その OSD に対する FTA の登録を解除できます。また、電子メール システムおよびファイアウォールでこの拡張子をブロックすることを検討してください。Outlook で拡張子をブロックする構成の詳細については、「Outlook でブロックする添付ファイルのファイル名拡張子を追加する方法」を参照してください。

[Template Token Value]

securityセキュリティ 注
App-V バージョン 4.6 を初めてインストールする場合は、インストール中に OSD ファイル用にファイルの関連付けは作成されませんが、App-V Client のバージョン 4.2 または 4.5 からアップグレードする場合は既存の設定が維持されます。ファイルの種類の関連付けを作成する必要がある場合は、次のようにレジストリ キーを作成して値を設定してください。

    HKEY_CLASSES_ROOT\.osd を作成し、SoftGrid.osd.File を既定値に設定します。

    HKEY_LOCAL_MACHINE\software\classes\Softgrid.osd.file の下に AppUserModelID という文字列値を作成し、Microsoft.AppV.Client.Tray というデータ値を指定します。

[Template Token Value]

承認

インストール中、RequireAuthorizationIfCached パラメータを使用して、ユーザーがアプリケーションを起動しようとしたときにサーバーからの許可を要求するようにクライアントを構成できます。このパラメータは慎重に設定する必要があります。なんらかの理由で App-V サーバーが使用できなくなった場合、アプリケーションはこのパラメータの最近の保存状態を使用してユーザーのアプリケーションへのアクセスを制御します。App-V Server が使用できなくなる前にユーザーがアプリケーションを起動しなかった場合は、次に App-V Server に接続して認証されるまでアプリケーションを起動することはできません。ただし、クライアントが認証を要求しないようにパラメータが設定されている場合は、サーバーが使用できなくなっても、認証済みかどうかに関係なく、既にキャッシュされているアプリケーションを起動できます。また、ユーザーがアクセス許可を通じてクライアントをオフライン モードに変更する権限を持っている場合、あるいはユーザーがローカルの管理者である場合、App-V インフラストラクチャが使用できない場合のように、ユーザーはキャッシュされたすべてのパッケージを開くことができます。

ウィルス スキャン

App-V Client コンピュータで実行されているウィルス対策ソフトウェアは、仮想環境で感染したファイルを検出して報告できます。ただし、ウィルスをファイルから駆除することはできません。仮想環境でウィルスが検出された場合、ウィルス対策ソフトウェアは構成された検疫または修復処理をキャッシュ内で実行しますが、実際のパッケージ内では行いません。sftfs.fsd を例外とするようにウィルス対策ソフトウェアを構成します。このファイルは、App-V Client 上でパッケージを保存するキャッシュ ファイルです。

securityセキュリティ 注
運用環境に展開されたアプリケーションまたはパッケージでウィルスが検出された場合、ウィルスのないバージョンでアプリケーションまたはパッケージを置き換えます。

クライアントとサーバー間の通信

公開の更新およびパッケージのストリーミングは、クライアント/サーバー通信に関するセキュリティの考慮が重要な領域でもあります。

公開の更新

クライアントが公開の更新を実行するためにサーバーと通信するとき、アプリケーション パッケージに関する情報を要求するのにログオン ユーザーの資格情報を使用します。転送時に公開情報が改ざんされないように、App-V Client と App-V Management Server 間の通信をセキュリティで保護する必要があります。これは、RTSPS/HTTPS を使用するセキュリティ強化オプションで実現されます。ICO および OSD ファイルの保存場所とクライアント間の通信では、SMB/CIFS の共有には IPsec を使用し、IIS サーバーには HTTPS を使用します。

注意

ICO ファイルと OSD ファイルの公開に IIS を使用している場合は、OSD=TXT の MIME タイプを構成する必要があります。構成しないと、IIS は ICO ファイルと OSD ファイルをクライアントに提供しません。

パッケージ ストリーミング

ユーザーがアプリケーションを初めて起動する場合、またはクライアントに自動読み込みパラメータが設定されている場合、アプリケーション パッケージがサーバーからクライアント キャッシュにストリームされます。この処理は、RTSP/RTSPS、HTTP/HTTPS、および SMB/CIFS プロトコルをサポートします。クライアントに ApplicationSourceRoot または OverrideURL 設定が構成されていない限り、OSD ファイルがどのプロトコルを使用するかを制御します。より高度なセキュリティを実現するために、SMB/CIFS に対して RTSPS、HTTPS、または IPsec で通信が行われるように構成する必要があります。通信方法の選択の詳細については、『App-Vシステムの計画と展開ガイド』を参照してください。

注意

パッケージ (SFT ファイル) の公開に IIS を使用している場合、SFT=Binary の MIME タイプを構成する必要があります。そうしないと、IIS は SFT ファイルのクライアントへの提供を拒否します。

移動プロファイルおよびフォルダ リダイレクト

App-V システムは、パッケージへのユーザー固有の変更を usrvol_sftfs_v1.pkg ファイルに格納します。このファイルは、ユーザーのプロファイルの Application Data フォルダにあります。このプロファイルまたはリダイレクトされた Application Data フォルダはクライアントとサーバーの間で転送されるため、通信をセキュリティで保護するために IPSec を使用します。

インターネットに接続しているクライアントの考慮事項

インターネットに接続しているクライアントでは、クライアントがドメインに参加しているかどうかを考慮することが重要です。

ドメインに参加しているクライアント

既定では、App-V Client は、イントラネット上の認証および承認のために Active Directory ドメイン サービスが発行する Kerberos チケットを使用します。既定では、これらの Kerberos チケットは 10 時間有効です。クライアントは、チケットを更新するためにドメイン コントローラに接続できなくても、チケットが有効な間はこのチケットを使用して App-V サーバーにアクセスします。Kerberos チケットの有効期限が切れると、App-V クライアントは NTLM 認証へ戻り、ユーザーのキャッシュされた資格情報を使用します。

ドメインに参加していないクライアント

ユーザーが在宅でコンピュータが会社のドメインに参加していない場合でも、App-V はアプリケーションの配信をサポートできます。公開の更新およびアプリケーションの起動を実行できるようにユーザーを認証して承認するには、App-V 環境へのアクセス権のあるユーザー名とパスワードを格納し、アプリケーションに適切なアクセス許可を提供するように、クライアント コンピュータのユーザー アカウントを構成します。

参照:

その他のリソース

セキュリティと保護の計画

-----
MDOP の詳細については、TechNet ライブラリの参照、TechNet Wiki でのトラブルシューティングの検索、または FacebookTwitter をフォローしてください。 MDOP ドキュメントに関するご意見やご提案は、以下までお送りください。 MDOPdocs@microsoft.com。