Consideraciones de seguridad para UE-V 2.1 SP1
Este artículo contiene una breve introducción a las cuentas y grupos, los archivos de registro y otras consideraciones relacionadas con la seguridad para Microsoft User Experience Virtualization (UE-V) 2.1 SP1.
Consideraciones de seguridad para la configuración de UE-V
Importante
Al crear el recurso compartido de almacenamiento de configuración, limite el acceso del recurso compartido a los usuarios que necesiten acceso.
Dado que los paquetes de configuración pueden contener información personal, debe tener cuidado de protegerlos y de que sea posible. En general, realice las siguientes acciones:
Restrinja el recurso compartido solo a aquellos usuarios que requieran acceso. Cree un grupo de seguridad para los usuarios que han redirigido carpetas en un recurso compartido determinado y limite el acceso solo a esos usuarios.
Al crear el recurso compartido, oculte el recurso compartido colocando un valor $ después del nombre del recurso compartido. Esta adición oculta el recurso compartido de exploradores casuales y el recurso compartido no está visible en Mis lugares de red.
Solo proporcione a los usuarios los permisos mínimos que deben tener. En las tablas siguientes se muestran los permisos necesarios.
Establezca los siguientes permisos SMB de nivel de recurso compartido para la carpeta de ubicación de almacenamiento de configuración.
Cuenta de usuario Permisos recomendados Todos Sin permisos Grupo de seguridad de UE-V Control total Establezca los siguientes permisos del sistema de archivos NTFS para la carpeta de ubicación de almacenamiento de configuración.
Cuenta de usuario Permisos recomendados Carpeta Creador/propietario Control total Solo subcarpetas y archivos Administradores de dominio Control total Esta carpeta, subcarpetas y archivos Grupo de seguridad de usuarios de UE-V Enumerar carpeta/leer datos, crear carpetas o anexar datos Solo esta carpeta Todos Quitar todos los permisos Sin permisos Establezca los siguientes permisos SMB de nivel de recurso compartido para la carpeta de catálogo de plantillas de configuración.
Cuenta de usuario Recomendar permisos Todos Sin permisos Equipos de dominio Niveles de permisos de lectura Administradores Niveles de permisos de lectura y escritura Establezca los siguientes permisos NTFS para la carpeta de catálogo de plantillas de configuración.
Cuenta de usuario Permisos recomendados Aplicar en Creador/propietario Control total Esta carpeta, subcarpetas y archivos Equipos de dominio Enumerar el contenido de la carpeta y los permisos de lectura Esta carpeta, subcarpetas y archivos Todos Sin permisos Sin permisos Administradores Control total Esta carpeta, subcarpetas y archivos
Uso de Windows Server a partir de Windows Server 2003 para hospedar recursos compartidos de archivos redirigidos
Los archivos de paquete de configuración de usuario contienen información personal que se transfiere entre el equipo cliente y el servidor que almacena los paquetes de configuración. Debido a este proceso, debe asegurarse de que los datos están protegidos mientras viajan a través de la red.
Los datos de configuración de usuario son vulnerables a estas posibles amenazas: interceptación de los datos a medida que pasan a través de la red, alteración de los datos a medida que pasan a través de la red y suplantación del servidor que hospeda los datos.
A partir de Windows Server 2003, varias características del sistema operativo Windows Server pueden ayudar a proteger los datos de usuario:
Kerberos : Kerberos es estándar en todas las versiones de Microsoft Windows 2000 Server y Windows Server a partir de Windows Server 2003. Kerberos garantiza el nivel más alto de seguridad para los recursos de red. NTLM autentica solo el cliente; Kerberos autentica el servidor y el cliente. Cuando se usa NTLM, el cliente no sabe si el servidor es válido. Esta diferencia es importante si el cliente intercambia archivos personales con el servidor, como sucede con los perfiles de usuario móviles. Kerberos proporciona una mejor seguridad que NTLM. Kerberos no está disponible en los sistemas operativos Microsoft Windows NT Server 4.0 o versiones anteriores.
IPsec: el protocolo de seguridad de IP (IPsec) proporciona autenticación de nivel de red, integridad de datos y cifrado. IPsec garantiza lo siguiente:
Los datos recorridos están a salvo de la modificación de datos mientras los datos están en ruta.
Los datos desenlazados están a salvo de interceptación, visualización o copia.
Los datos modificados están a salvo del acceso de las partes no autenticadas.
Firma SMB : el protocolo de autenticación de bloque de mensajes del servidor (SMB) admite la autenticación de mensajes, lo que impide los ataques de mensajes activos y "man-in-the-middle". La firma SMB proporciona esta autenticación mediante la colocación de una firma digital en cada SMB. A continuación, tanto el cliente como el servidor comprueban la firma digital. Para usar la firma SMB, primero debe habilitarla, o bien debe requerirla tanto en el cliente SMB como en el servidor SMB.
Nota
La firma SMB impone una penalización de rendimiento. No consume más ancho de banda de red, pero usa más ciclos de CPU en el lado cliente y servidor.
Use siempre el sistema de archivos NTFS para los volúmenes que contienen datos de usuario.
Para la configuración más segura, configure los servidores que hospedan los archivos de configuración de UE-V para usar el sistema de archivos NTFS. A diferencia del sistema de archivos FAT, NTFS admite listas de control de acceso discrecional (DACL) y listas de control de acceso del sistema (SACL). Las DACL y las SACL controlan quién puede realizar operaciones en un archivo y qué eventos desencadenan el registro de acciones que se realizan en un archivo.
No confíe en EFS para cifrar los archivos de usuario cuando se transmiten a través de la red.
Cuando se usa el sistema de cifrado de archivos (EFS) para cifrar archivos en un servidor remoto, los datos cifrados no se cifran durante el tránsito a través de la red; solo se cifra cuando se almacena en el disco.
Este proceso de cifrado no se aplica cuando el sistema incluye seguridad de protocolo de Internet (IPsec) o creación y control de versiones distribuidos web (WebDAV). IPsec cifra los datos mientras se transportan a través de una red TCP/IP. Si el archivo se cifra antes de copiarlo o moverlo a una carpeta WebDAV en un servidor, permanece cifrado durante la transmisión y mientras se almacena en el servidor.
Permitir que el agente de UE-V cree carpetas para cada usuario
Para asegurarse de que UE-V funciona de forma óptima, cree solo el recurso compartido raíz en el servidor y deje que el agente de UE-V cree las carpetas para cada usuario. UE-V crea estas carpetas de usuario con la seguridad adecuada.
Esta configuración de permisos permite a los usuarios crear carpetas para el almacenamiento de configuración. El agente de UE-V crea y protege una carpeta de paquete de configuración mientras se ejecuta en el contexto del usuario. Los usuarios reciben control total en la carpeta del paquete de configuración. Otros usuarios no heredan el acceso a esta carpeta. No es necesario crear y proteger directorios de usuarios individuales. El agente que se ejecuta en el contexto del usuario lo hace automáticamente.
Nota
Cuando se usa un servidor de Windows Server para el recurso compartido de almacenamiento de configuración, puede configurar más seguridad. Puede configurar UE-V para comprobar que el grupo administradores local o el usuario actual es el propietario de la carpeta donde se almacenan los paquetes de configuración. Para habilitar la seguridad adicional, use el siguiente comando:
Agregue la clave
RepositoryOwnerCheckEnableddel Registro REG_DWORD aHKEY_LOCAL_MACHINE\Software\Microsoft\UEV\Agent\Configuration.Establezca el valor de la clave del Registro en
1.
Cuando se establece esta configuración, el agente de UE-V comprueba que el grupo de administradores local o el usuario actual es el propietario de la carpeta del paquete de configuración. Si no es así, el agente de UE-V no concede acceso a la carpeta.
Si debe crear carpetas para los usuarios, asegúrese de que tiene establecidos los permisos correctos.
No cree previamente carpetas. En su lugar, deje que el agente de UE-V cree la carpeta para el usuario.
Asegúrese de que los permisos son correctos para almacenar la configuración de UE-V 2 en un directorio principal o un directorio personalizado.
Si redirige la configuración de UE-V al directorio principal de un usuario o a un directorio de Active Directory (AD) personalizado, asegúrese de que los permisos del directorio se establecen correctamente para su organización.