Рекомендации по безопасности для UE-V 2.x
В этом разделе содержится краткий обзор учетных записей и групп, файлов журналов и других аспектов безопасности, связанных с Виртуализация средств взаимодействия с пользователем (Майкрософт) (UE-V) 2.0, 2.1 и 2.1 с пакетом обновления 1 (SP1). Дополнительные сведения см. по ссылкам, приведенным здесь.
Вопросы безопасности для конфигурации UE-V
Важно При создании общей папки хранилища параметров ограничьтесь доступом к общей папке пользователям, которым требуется доступ.
Так как пакеты параметров могут содержать персональные данные, необходимо обеспечить их защиту. Как правило, выполните следующие действия.
Ограничьте общую папку только пользователями, которым требуется доступ. Создайте группу безопасности для пользователей, перенаправив папки в определенный общий ресурс и ограничив доступ только этими пользователями.
При создании общей папки скройте общую папку, поместив $после имени общей папки. Это добавление скрывает общую папку из обычных браузеров, и она не отображается в разделе "Мои сетевые расположения".
Предоставьте пользователям только минимальный объем разрешений, которые у них должны быть. В следующих таблицах показаны необходимые разрешения.
Задайте следующие разрешения SMB уровня общего ресурса для папки расположения хранилища параметров.
Учетная запись пользователя Рекомендуемые разрешения Все пользователи Нет разрешений Группа безопасности UE-V Полный доступ Задайте следующие разрешения файловой системы NTFS для папки расположения хранилища параметров.
Учетная запись пользователя Рекомендуемые разрешения Папка Создатель или владелец Полный доступ Только вложенные папки и файлы Администраторы домена Полный доступ Эта папка, вложенные папки и файлы Группа безопасности пользователей UE-V Перечисление папок и чтение данных, создание папок и добавление данных Только эта папка Все пользователи Удаление всех разрешений Нет разрешений Задайте следующие разрешения SMB уровня общего ресурса для папки каталога шаблонов параметров.
Учетная запись пользователя Рекомендуемые разрешения Все пользователи Нет разрешений Компьютеры домена Уровни разрешений на чтение Администраторы Уровни разрешений на чтение и запись Задайте следующие разрешения NTFS для папки каталога шаблонов параметров.
Учетная запись пользователя Рекомендуемые разрешения Применить к Создатель или владелец Полный доступ Эта папка, вложенные папки и файлы Компьютеры домена Перечисление содержимого папки и разрешений на чтение Эта папка, вложенные папки и файлы Все пользователи Нет разрешений Нет разрешений Администраторы Полный доступ Эта папка, вложенные папки и файлы
Использование Windows Server в Windows Server 2003 для размещения перенаправленных общих папок
Файлы пакетов параметров пользователя содержат персональные данные, передаваемые между клиентским компьютером и сервером, на котором хранятся пакеты параметров. В связи с этим следует убедиться, что данные защищены во время их перемещения по сети.
Данные параметров пользователя уязвимы для таких потенциальных угроз: перехват данных по мере их передачи по сети, незаконное изменение данных по мере их передачи по сети и спуфинг сервера, на котором размещены данные.
В Windows Server 2003 несколько функций операционной системы Windows Server могут помочь защитить пользовательские данные:
Kerberos — Kerberos является стандартным для всех версий Microsoft Windows 2000 Server и Windows Server, начиная с Windows Server 2003. Kerberos обеспечивает наивысший уровень безопасности сетевых ресурсов. NTLM проверяет подлинность только клиента; Kerberos проверяет подлинность сервера и клиента. При использовании NTLM клиент не знает, является ли сервер допустимым. Это различие особенно важно, если клиент обменивается личными файлами с сервером, как в случае с перемещаемыми профилями пользователей. Kerberos обеспечивает лучшую безопасность, чем NTLM. Kerberos недоступен в microsoft Windows NT Server 4.0 или более ранних операционных системах.
IPsec — протокол IPsec обеспечивает проверку подлинности на уровне сети, целостность данных и шифрование. IPsec обеспечивает следующее:
Перемещаемые данные безопасны от изменения данных во время их маршрутизации.
Перемещаемые данные защищены от перехвата, просмотра или копирования.
Перемещаемые данные безопасны от доступа не прошедших проверку подлинности сторон.
Подписывание SMB — протокол проверки подлинности SMB поддерживает проверку подлинности сообщений, которая предотвращает активные атаки сообщений и атак типа "злоумышленник в середине". Подписывание SMB обеспечивает эту проверку подлинности путем помещения цифровой подписи в каждый SMB. Затем цифровая подпись проверяется клиентом и сервером. Чтобы использовать подписывание SMB, сначала необходимо либо включить его, либо требовать как на клиенте SMB, так и на сервере SMB. Обратите внимание, что подписывание SMB налагает снижение производительности. Он не использует больше пропускной способности сети, но использует больше циклов ЦП на стороне клиента и сервера.
Всегда используйте файловую систему NTFS для томов, в которых хранятся пользовательские данные
Для наиболее безопасной конфигурации настройте серверы, на которых размещены файлы параметров UE-V, для использования файловой системы NTFS. В отличие от файловой системы FAT, NTFS поддерживает списки управления доступом на уровне пользователей (DACL) и системные списки управления доступом (SACL). Списки DACL и списки SACL могут контролировать, кто может выполнять операции с файлом и какие события инициирует ведение журнала действий, выполняемых с файлом.
Не следует полагаться на EFS для шифрования пользовательских файлов при их передаче по сети
При использовании шифруемой файловой системы (EFS) для шифрования файлов на удаленном сервере зашифрованные данные не шифруются во время передачи по сети. он шифруется только в том случае, если он хранится на диске.
Этот процесс шифрования не применяется, если система включает протокол IPsec или веб-распределенное редактирование и управление версиями (WebDAV). IPsec шифрует данные во время их передачи по сети TCP/IP. Если файл шифруется перед копированием или перемещением в папку WebDAV на сервере, он остается зашифрованным во время передачи и во время хранения на сервере.
Разрешить агенту UE-V создавать папки для каждого пользователя
Чтобы обеспечить оптимальную работу UE-V, создайте только корневой ресурс на сервере и позвольте агенту UE-V создавать папки для каждого пользователя. UE-V создает эти пользовательские папки с соответствующей безопасностью.
Эта конфигурация разрешений позволяет пользователям создавать папки для хранилища параметров. Агент UE-V создает и обеспечивает безопасность папки пакета параметров во время выполнения в контексте пользователя. Пользователи получают полный доступ к папке пакета параметров. Другие пользователи не наследуют доступ к этой папке. Создавать и защищать отдельные каталоги пользователей не требуется. Агент, выполняемый в контексте пользователя, выполняет это автоматически.
Примечание Дополнительную безопасность можно настроить при использовании Windows Server для общей папки хранилища параметров. UE-V можно настроить для проверки того, является ли локальная группа администраторов или текущий пользователь владельцем папки, в которой хранятся пакеты параметров. Чтобы включить дополнительную безопасность, используйте следующую команду:
Добавьте раздел REG_DWORD RepositoryOwnerCheckEnabled в
HKEY_LOCAL_MACHINE\Software\Microsoft\UEV\Agent\Configuration.Задайте для раздела реестра значение 1.
Если этот параметр конфигурации установлен, агент UE-V проверяет, является ли локальная группа администраторов или текущий пользователь владельцем папки пакета параметров. В противном случае агент UE-V не предоставляет доступ к папке.
Если необходимо создать папки для пользователей, убедитесь, что у вас есть правильный набор разрешений.
Настоятельно рекомендуется не создавать папки заранее. Вместо этого позвольте агенту UE-V создать папку для пользователя.
Обеспечение правильных разрешений для хранения параметров UE-V 2 в домашнем или пользовательском каталоге
При перенаправлении параметров UE-V в домашний каталог пользователя или пользовательский каталог Active Directory (AD) убедитесь, что разрешения для каталога заданные соответствующим образом для вашей организации.