Consideraciones de seguridad de App-V 5.1
Este artículo contiene una breve introducción a las cuentas y grupos, los archivos de registro y otras consideraciones relacionadas con la seguridad para Microsoft Application Virtualization (App-V) 5.1.
Importante
App-V 5.1 no es un producto de seguridad y no proporciona ninguna garantía para un entorno seguro.
La característica PackageStoreAccessControl (PSAC) ha quedado en desuso
A partir de junio de 2014, la característica PackageStoreAccessControl (PSAC) que se introdujo en Microsoft Application Virtualization (App-V) 5.0 Service Pack 2 (SP2) ha quedado en desuso en entornos de usuario único y multiusuario.
Consideraciones generales de seguridad
Comprenda los riesgos de seguridad. El riesgo más grave para App-V 5.1 es que su funcionalidad podría ser secuestrada por un usuario no autorizado que podría volver a configurar los datos clave en los clientes de App-V 5.1. La pérdida de la funcionalidad de App-V 5.1 durante un breve período de tiempo debido a un ataque por denegación de servicio no tendría generalmente un impacto catastrófico.
Proteja físicamente los equipos. La seguridad está incompleta sin seguridad física. Cualquier persona con acceso físico a un servidor de App-V 5.1 podría atacar potencialmente a toda la base de clientes. Cualquier posible ataque físico debe considerarse de alto riesgo y mitigarse adecuadamente. Los servidores de App-V 5.1 deben almacenarse en una sala de servidores físicamente segura con acceso controlado. Proteja estos equipos cuando los administradores no estén físicamente presentes haciendo que el sistema operativo bloquee el equipo o mediante un protector de pantalla protegido.
Aplique las actualizaciones de seguridad más recientes a todos los equipos.
Use contraseñas seguras o frases de paso. Use siempre contraseñas seguras con 15 o más caracteres para todas las cuentas de administrador de App-V 5.1 y App-V 5.1. Nunca use contraseñas en blanco. Para obtener más información sobre los conceptos de contraseña, consulte Contraseñas y directivas de cuenta.
Cuentas y grupos en App-V 5.1
Un procedimiento recomendado para la administración de cuentas de usuario es crear grupos globales de dominio y agregarles cuentas de usuario. A continuación, agregue las cuentas globales de dominio a los grupos locales de App-V 5.1 necesarios en los servidores de App-V 5.1.
Nota
Las cuentas de equipo cliente de App-V que necesitan conectarse al servidor de publicación deben formar parte del grupo local Usuarios del servidor de publicación. De forma predeterminada, todos los equipos del dominio forman parte del grupo Usuarios autorizados , que forma parte del grupo local Usuarios .
Seguridad del servidor de App-V 5.1
No se crean grupos automáticamente durante la instalación de App-V 5.1. Debe crear los siguientes grupos globales de Active Directory Domain Services para administrar las operaciones del servidor de App-V 5.1.
| Nombre de grupo | Detalles |
|---|---|
| Grupo de administradores de administración de App-V | Se usa para administrar el servidor de administración de App-V 5.1. Este grupo se crea durante la instalación del servidor de administración de App-V 5.1. Importante: No hay ningún método para crear el grupo mediante la consola de administración después de completar la instalación. |
| Lectura y escritura de la base de datos para la cuenta del servicio de administración | Proporciona acceso de lectura y escritura a la base de datos de administración. Esta cuenta debe crearse durante la instalación de la base de datos de administración de App-V 5.1. |
| Cuenta de administrador de instalación del servicio de administración de App-V | Proporciona acceso público a la tabla de versión de esquema en la base de datos de administración. Esta cuenta debe crearse durante la instalación de la base de datos de administración de App-V 5.1. Nota: Esto solo es necesario si la base de datos de administración se instala por separado del servicio. |
| Cuenta de administrador de instalación de App-V Reporting Service | Acceso público a la tabla de versión de esquema en la base de datos de informes. Esta cuenta debe crearse durante la instalación de la base de datos de informes de App-V 5.1. Nota: Esto solo es necesario si la base de datos de informes se instala por separado del servicio. |
Tenga en cuenta la siguiente información adicional:
Acceso a los recursos compartidos de paquetes: si existe un recurso compartido en el mismo equipo que el servidor de administración, el servicio red requiere acceso de lectura al recurso compartido. Además, cada equipo cliente de App-V debe tener acceso de lectura al recurso compartido de paquetes.
Nota
En versiones anteriores de App-V, el recurso compartido de paquetes se denominaba recurso compartido de contenido.
Registro de servidores de publicación con el servidor de administración: debe registrarse un servidor de publicación en el servidor de administración. Por ejemplo, se debe agregar a la base de datos para que las cuentas de máquina del servidor de publicación puedan llamar a la API del servicio de administración.
Seguridad del paquete de App-V 5.1
Lo siguiente le ayudará a planear cómo asegurarse de que los paquetes virtualizados son seguros.
- Si un instalador de aplicación aplica una lista de control de acceso (ACL) a un archivo o directorio, esa ACL no se conserva en el paquete. Cuando se implementa el paquete, si un usuario modifica el archivo o directorio, heredará la ACL en % userprofile% o heredará la ACL del directorio del equipo de destino. El caso anterior se produce si el archivo o directorio no existe en una ubicación del sistema de archivos virtual; el último caso se produce si el archivo o directorio existe en una ubicación del sistema de archivos virtual, por ejemplo %windir%.
Archivos de registro de App-V 5.1
Durante el programa de instalación de App-V 5.1, los archivos de registro de instalación se crean en la carpeta %temp% del usuario de instalación.