Sequencer セキュリティの計画
適用対象: Application Virtualization
Sequencer の実装が機能的でセキュリティが強化されるように、Application Virtualization (App-V) を構成する際にできるだけ早い段階で推奨される実装プラクティスを取り込みます。Sequencer をすでに構成している場合、以下のベスト プラクティス ガイドラインを使用して設計上の決定事項を再確認し、セキュリティの側面から分析します。
重要
App-V Sequencer は、Sequencer が実行されているコンピュータ上で記録されるすべてのアプリケーション情報を収集して展開します。Sequencer が実行されているコンピュータにアクセスするすべてのユーザーが管理資格情報を持っていることを確認してください。ユーザー アカウント資格情報を持っているユーザーに、パッケージのコンテンツやパッケージ ファイルを制御するアクセス権は付与しません。Remote Desktop Services (旧 Terminal Services) を実行しているコンピュータ上でシーケンス処理する場合は、そのコンピュータがシーケンス専用のコンピュータであり、シーケンス中に、ユーザー アカウント資格情報を持つユーザーがそのコンピュータに接続していないことを確認してください。
Sequencer セキュリティのベスト プラクティス
Application Virtualization (App-V) Sequencer を実装して使用するときには、次のシナリオおよび関連するベスト プラクティスを検討します。
Sequencer を実行するコンピュータのウィルスのスキャン — Sequencer を実行するコンピュータでウィルスのスキャンをしてから、シーケンス処理中にはすべてのウィルス対策ソフトウェアおよびマルウェア検出ソフトウェアを無効にすることをお勧めします。そうすることにより、シーケンス処理速度が高まり、ウィルス対策ソフトウェアおよびマルウェア対策ソフトウェアのコンポーネントによるシーケンス処理への干渉を防ぐことができます。次に、Sequencer を実行していないコンピュータにシーケンスされたパッケージをインストールします。インストールに成功したら、そのコンピュータがウィルスに感染していないかスキャンします。ウィルスが検出された場合、ソフトウェアの製造元に連絡し感染したソース ファイルがあることを通知し、ウィルスに感染していない更新されたインストール用ソース ファイルを要求してください。または、インストール フェーズの後で Sequencer をスキャンしてウィルスが見つかった場合には、前述のとおりに製造元に通知します。
注意
アプリケーションにウィルスが検出された場合、対象のコンピュータにアプリケーションを展開しないでください。
NTFS ファイル上でのアクセス制御リスト (ACL) の取り込み — App-V Sequencer は、製品のインストール中に監視されるファイルの NTFS ファイル システムのアクセス許可を取り込みます。この機能を使用することで、アプリケーションが仮想化ではなくローカルにインストールされたかのようにアプリケーションの動作をより正確に再現できます。一部のシナリオでは、ユーザーがアプリケーション ファイル内でアクセスを意図しなかったような情報をアプリケーションが格納する場合もあります。たとえば、アプリケーションはアプリケーション内部のファイルに資格情報を格納できます。ACL がパッケージに適用されなければ、ユーザーがこの情報を表示してアプリケーションの外部で使用する可能性があります。
注意
暗号化されていないパスワードなどのセキュリティ関連情報を格納したアプリケーションをシーケンスしないでください。
インストール フェーズ中、必要に応じてファイルの既定のアクセス許可を変更できます。シーケンス処理を完了後、パッケージを保存する前であれば、アプリケーションのインストール中に取り込んだセキュリティ記述子を適用するかどうか選択できます。既定では、App-V は、アプリケーションのインストール中に指定されたセキュリティ記述子を適用します。セキュリティ記述子の適用をオフにする場合は、アプリケーションをテストして、関連付けられたアクセス制御リスト (ACL) を削除してもアプリケーションが正しく動作することを確認してください。
Sequencer がレジストリ ACL を取り込まない — シーケンス処理のインストール フェーズ中、Sequencer は NTFS ファイル システム の ACL を取り込みますが、レジストリの ACL は取り込みません。ユーザーは、サービス以外のすべての仮想アプリケーション用のレジストリ キーにフル アクセスがあります。ただし、ユーザーが仮想アプリケーションのレジストリを変更すると、変更は特定のストア (uservol_sftfs_v1.pkg) に格納され、他のユーザーが影響を受けることはありません。
アプリケーション サービス — App-V は、仮想化アプリケーションの一部であるアプリケーション サービスにサポートを提供します。だたし、仮想環境では実行されるセキュリティ コンテキストが制限されます。仮想環境でサポートされるセキュリティ コンテキストは、Local System、Local Service、および Network Service のみです。シーケンス処理中、アプリケーション サービスにサポートされているこれら 3 つのセキュリティ コンテキスト以外が指定された場合、仮想環境では Local System セキュリティ コンテキストが適用されます。そのアプリケーション サービスが Local Service または Network Service を使用するように構成されている場合は、その構成が仮想環境で受け入れられます。サービス アカウントの構成は、これらの 3 つのセキュリティ コンテキストを使用してシーケンス処理中に実行できます。
永続化セキュリティ情報—アプリケーションをシーケンスする際、ユーザーがするようにアプリケーションをインストールしたり、アプリケーションをインストールするための自動方法を開発すると、その動作が監視されます。アプリケーションが仮想化環境で実行されるために必要な資産を有するように、パッケージから除外されていない限り、すべてがパッケージの一部として取り込まれます。一部のアプリケーションはインストール中に重要なセキュリティ情報 (パスワードなど) を保存します。この情報が保護されずに永続化されると、パッケージへのアクセス権を持つ他のユーザーがこのセキュリティ情報にアクセスできるようになります。インストール中、アプリケーションによりパスワードやその他のセキュリティに関係する情報を要求された場合、マニュアルを参照してその情報が永続化 (インストール後に削除) されるかどうか、また永続化される場合は保護 (暗号化) されるかどうかを確認します。
仮想アプリケーションを保護する - 常に仮想アプリケーション パッケージをネットワーク上の安全な場所に保存して、改ざんや破損から保護します。
参照:
その他のリソース
-----
MDOP の詳細については、TechNet ライブラリの参照、TechNet Wiki でのトラブルシューティングの検索、または Facebook や Twitter をフォローしてください。 MDOP ドキュメントに関するご意見やご提案は、以下までお送りください。 MDOPdocs@microsoft.com。