다음을 통해 공유

App-V 5.0 보안 고려 사항

  • 아티클

이 항목에는 App-V 5.0에 대한 계정 및 그룹, 로그 파일 및 기타 보안 관련 고려 사항에 대한 간략한 개요가 포함되어 있습니다.

중요
App-V 5.0은 보안 제품이 아니며 보안 환경에 대한 어떠한 보장도 제공하지 않습니다.

PACKAGEStoreAccessControl(PSAC) 기능이 더 이상 사용되지 않음

2014년 6월부터 단일 사용자 및 다중 사용자 환경 모두에서 Microsoft App-V(Application Virtualization) 5.0 SP2(서비스 팩 2)에 도입된 PACKAGEStoreAccessControl(PSAC) 기능이 더 이상 사용되지 않습니다.

일반 보안 고려 사항

보안 위험을 이해합니다. App-V 5.0의 가장 심각한 위험은 App-V 5.0 클라이언트에서 키 데이터를 다시 구성할 수 있는 권한이 없는 사용자가 해당 기능을 하이재킹할 수 있다는 것입니다. 서비스 거부 공격으로 인해 짧은 기간 동안 App-V 5.0 기능이 손실되는 것은 일반적으로 치명적인 영향을 미치지 않습니다.

컴퓨터를 물리적으로 보호합니다. 물리적 보안이 없으면 보안이 완전하지 않습니다. App-V 5.0 서버에 물리적으로 액세스할 수 있는 모든 사용자가 전체 클라이언트 기반을 공격할 수 있습니다. 잠재적인 물리적 공격은 높은 위험으로 간주되고 적절하게 완화되어야 합니다. App-V 5.0 서버는 제어된 액세스 권한이 있는 물리적으로 안전한 서버 룸에 저장해야 합니다. 운영 체제에서 컴퓨터를 잠그거나 보안 화면 보호기를 사용하여 관리자가 물리적으로 존재하지 않는 경우 이러한 컴퓨터를 보호합니다.

모든 컴퓨터에 최신 보안 업데이트를 적용합니다. 운영 체제, Microsoft SQL Server 및 App-V 5.0에 대한 최신 업데이트에 대한 정보를 유지하려면 보안 알림 서비스(https://go.microsoft.com/fwlink/p/?LinkId=28819)를 구독합니다.

강력한 암호를 사용하거나 구를 전달합니다. 모든 App-V 5.0 및 App-V 5.0 관리자 계정에 대해 항상 15자 이상의 문자로 강력한 암호를 사용합니다. 빈 암호를 사용하지 마세요. 암호 개념에 대한 자세한 내용은 TechNet(https://go.microsoft.com/fwlink/p/?LinkId=30009)의 "계정 암호 및 정책" 백서를 참조하세요.

App-V 5.0의 계정 및 그룹

사용자 계정 관리를 위한 모범 사례는 도메인 전역 그룹을 만들고 사용자 계정을 추가하는 것입니다. 그런 다음, App-V 5.0 서버의 필요한 App-V 5.0 로컬 그룹에 도메인 전역 계정을 추가합니다.

참고
게시 서버에 연결해야 하는 App-V 클라이언트 컴퓨터 계정은 게시 서버의 사용자 로컬 그룹에 속해야 합니다. 기본적으로 도메인의 모든 컴퓨터는 사용자 로컬 그룹의 일부인 권한 있는사용자 그룹의 일부입니다.

App-V 5.0 서버 보안

App-V 5.0 설치 중에는 그룹이 자동으로 만들어지지 않습니다. App-V 5.0 서버 작업을 관리하려면 다음 Active Directory Domain Services 전역 그룹을 만들어야 합니다.

그룹 이름 세부 정보

App-V 관리 관리 그룹

App-V 5.0 관리 서버를 관리하는 데 사용됩니다. 이 그룹은 App-V 5.0 관리 서버를 설치하는 동안 만들어집니다.

중요

설치를 완료한 후에는 관리 콘솔을 사용하여 그룹을 만드는 방법이 없습니다.

관리 서비스 계정에 대한 데이터베이스 읽기/쓰기

관리 데이터베이스에 대한 읽기/쓰기 액세스를 제공합니다. 이 계정은 App-V 5.0 관리 데이터베이스 설치 중에 만들어야 합니다.

App-V 관리 서비스 설치 관리자 계정

참고

관리 데이터베이스가 서비스와 별도로 설치되는 경우에만 필요합니다.

관리 데이터베이스의 스키마 버전 테이블에 대한 공용 액세스를 제공합니다. 이 계정은 App-V 5.0 관리 데이터베이스 설치 중에 만들어야 합니다.

App-V Reporting Service 설치 관리자 계정

참고

이는 보고 데이터베이스가 서비스와 별도로 설치되는 경우에만 필요합니다.

보고 데이터베이스의 스키마 버전 테이블에 대한 공용 액세스입니다. 이 계정은 App-V 5.0 보고 데이터베이스 설치 중에 만들어야 합니다.

다음 추가 정보를 고려합니다.

  • 패키지 공유에 대한 액세스 - 공유가 관리 서버와 동일한 컴퓨터에 있는 경우 네트워크 서비스에 공유에 대한 읽기 액세스 권한이 필요합니다. 또한 각 App-V 클라이언트 컴퓨터에는 패키지 공유에 대한 읽기 권한이 있어야 합니다.

    참고
    이전 버전의 App-V에서는 패키지 공유를 콘텐츠 공유라고 했습니다.

  • 관리 서버에 게시 서버 등록 - 게시 서버를 관리 서버에 등록해야 합니다. 예를 들어 게시 서버 컴퓨터 계정이 관리 서비스 API를 호출할 수 있도록 데이터베이스에 추가해야 합니다.

App-V 5.0 패키지 보안

다음은 가상화된 패키지의 보안을 보장하는 방법을 계획하는 데 도움이 됩니다.

  • 애플리케이션 설치 관리자가 파일 또는 디렉터리에 ACL(액세스 제어 목록)을 적용하는 경우 해당 ACL은 패키지에 유지되지 않습니다. 패키지를 배포할 때 사용자가 파일 또는 디렉터리를 수정하면 %userprofile% 의 ACL을 상속하거나 대상 컴퓨터 디렉터리의 ACL을 상속합니다. 이전 사례는 파일 또는 디렉터리가 가상 파일 시스템 위치에 없는 경우에 발생합니다. 후자의 경우 파일 또는 디렉터리가 가상 파일 시스템 위치에 있는 경우(예: %windir%) 발생합니다.

App-V 5.0 로그 파일

App-V 5.0 설치 중에 설치 로그 파일은 설치 사용자의 %temp% 폴더에 만들어집니다.