App-V 安全注意事项

适用于:

  • Windows 10
  • Windows 11

本文简要概述了 Microsoft Application Virtualization (App-V) 的帐户和组、日志文件和其他安全相关注意事项。

重要

App-V 不是安全产品,不为安全环境提供任何保证。

PackageStoreAccessControl (PSAC) 功能已弃用

自 2014 年 6 月起,Microsoft Application Virtualization (App-V) 5.0 Service Pack 2 (SP2) 中引入的 PackageStoreAccessControl (PSAC) 功能已在单用户和多用户环境中弃用。

一般安全注意事项

了解安全风险。 App-V 面临最严重的风险是未经授权的用户劫持 App-V 客户端的功能,从而使黑客能够在 App-V 客户端上重新配置关键数据。 相比之下,拒绝服务攻击导致的 App-V 功能的短期丢失不会那么灾难性。

以物理方式保护计算机。 不考虑物理安全的安全策略不完整。 任何对 App-V 服务器拥有物理访问权限的人都可能会攻击整个客户端群,因此应不代价防止潜在的物理攻击或盗窃。 应用 V 服务器应存储在具有受控访问权限的物理安全服务器室中。 使用操作系统或受保护的屏幕保护程序锁定计算机,以便在管理员离开时确保计算机的安全。

将最新的安全更新应用到所有计算机。 若要随时了解操作系统、Microsoft SQL Server和 App-V 的最新更新,请参阅 Microsoft 安全技术中心。 (需要更新此链接)

使用强密码或传递短语。 对于所有 App-V 和 App-V 管理员帐户,始终使用具有 15 个或更多字符的强密码。 切勿使用空白密码。 有关密码概念的详细信息,请参阅 密码策略强密码。 (需要更新此链接)

App-V 中的帐户和组

用户帐户管理的最佳做法是创建域全局组并向其添加用户帐户。 之后,将域全局帐户添加到 App-V 服务器上所需的 App-V 本地组。

备注

需要连接到发布服务器的 App-V 客户端计算机帐户必须是发布服务器的 用户 本地组的一部分。 默认情况下,域中的所有计算机都是 授权用户 组的一部分,该组是 用户 本地组的一部分。

App-V 服务器安全性

在 App-V 设置期间不会自动创建任何组。 应创建以下Active Directory 域服务全局组来管理 App-V 服务器操作。

组名称 详细信息 重要说明
App-V 管理管理组 用于管理 App-V 管理服务器。 此组是在安装 App-V 管理服务器期间创建的。 安装完成后,管理控制台无法创建新组。
管理服务帐户的数据库读/写 提供对管理数据库的读/写访问权限。 应在安装 App-V 管理数据库期间创建此帐户。
App-V 管理服务安装管理员帐户 提供对管理数据库中架构版本表的公共访问权限。 应在安装 App-V 管理数据库期间创建此帐户。 仅当管理数据库与服务分开安装时,才需要此帐户。
App-V Reporting Service 安装管理员帐户 对报告数据库中的架构版本表的公共访问权限。 应在 App-V 报告数据库安装期间创建此帐户。 仅当报告数据库与服务分开安装时,才需要此帐户。

请考虑以下附加信息:

  • 对包共享的访问权限:如果共享与管理服务器位于同一台计算机上, 则网络 服务需要对共享进行读取访问。 此外,每个 App-V 客户端计算机必须具有对包共享的读取访问权限。

备注

在早期版本的 App-V 中,包共享称为内容共享。

  • 向管理服务器注册发布服务器:必须向管理服务器注册发布服务器。 例如,必须将其添加到数据库,以便发布服务器计算机帐户能够调用管理服务 API。

App-V 包安全性

以下信息将帮助你规划如何确保虚拟化包是安全的。

  • 如果应用程序安装程序将访问控制列表 (ACL) 应用到文件或目录,则该 ACL 不会保留在包中。 如果部署包时用户修改了文件或目录,则修改后的文件或目录将继承 %userprofile% 中的 ACL 或继承目标计算机目录的 ACL。 如果虚拟文件系统位置中不存在文件或目录,则发生前者;如果文件或目录存在于虚拟文件系统位置(如 %windir%)中,则会发生后者。

App-V 日志文件

在 App-V 安装过程中,安装日志文件会在安装用户的 %temp% 文件夹中创建。

相关文章

为 App-V 准备你的环境