Considérations relatives à la sécurité pour UE-V 2.1 SP1
Cet article contient une brève vue d’ensemble des comptes et groupes, des fichiers journaux et d’autres considérations relatives à la sécurité pour Microsoft User Experience Virtualization (UE-V) 2.1 SP1.
Considérations relatives à la sécurité pour la configuration UE-V
Important
Lorsque vous créez le partage de stockage des paramètres, limitez l’accès au partage aux utilisateurs qui en ont besoin.
Étant donné que les packages de paramètres peuvent contenir des informations personnelles, vous devez veiller à les protéger et possiblement. En général, effectuez les actions suivantes :
Limitez le partage aux seuls utilisateurs qui ont besoin d’un accès. Créez un groupe de sécurité pour les utilisateurs qui ont redirigé des dossiers sur un partage particulier et limitez l’accès à ces utilisateurs uniquement.
Lorsque vous créez le partage, masquez-le en plaçant un $ après le nom du partage. Cet ajout masque le partage des navigateurs occasionnels, et le partage n’est pas visible dans Mes emplacements réseau.
Accordez uniquement aux utilisateurs les autorisations minimales dont ils doivent disposer. Les tableaux suivants indiquent les autorisations requises.
Définissez les autorisations SMB suivantes au niveau du partage pour le dossier de définition de l’emplacement de stockage.
Compte d’utilisateur Autorisations recommandées Tout le monde Aucune autorisation Groupe de sécurité d’UE-V Contrôle total Définissez les autorisations de système de fichiers NTFS suivantes pour le dossier d’emplacement de stockage des paramètres.
Compte d’utilisateur Autorisations recommandées Folder Créateur/Propriétaire Contrôle total Sous-dossiers et fichiers uniquement Administrateurs de domaine Contrôle total Ce dossier, sous-dossiers et fichiers Groupe de sécurité des utilisateurs UE-V Répertorier des dossiers/lire des données, créer des dossiers/ajouter des données Ce dossier uniquement Tout le monde Supprimer toutes les autorisations Aucune autorisation Définissez les autorisations SMB suivantes au niveau du partage pour le dossier de catalogue de modèles de paramètres.
Compte d’utilisateur Recommander des autorisations Tout le monde Aucune autorisation Ordinateurs de domaine l’autorisation Lecture niveaux Administrateurs Niveaux d’autorisation de lecture/écriture Définissez les autorisations NTFS suivantes pour le dossier de catalogue de modèles de paramètres.
Compte d’utilisateur Autorisations recommandées Appliquer à Créateur/Propriétaire Contrôle total Ce dossier, sous-dossiers et fichiers Ordinateurs de domaine Répertorier le contenu des dossiers et les autorisations de lecture Ce dossier, sous-dossiers et fichiers Tout le monde Aucune autorisation Aucune autorisation Administrateurs Contrôle total Ce dossier, sous-dossiers et fichiers
Utiliser Windows Server à partir de Windows Server 2003 pour héberger des partages de fichiers redirigés
Les fichiers de package de paramètres utilisateur contiennent des informations personnelles qui sont transférées entre l’ordinateur client et le serveur qui stocke les packages de paramètres. En raison de ce processus, vous devez vous assurer que les données sont protégées pendant qu’elles transitent sur le réseau.
Les données des paramètres utilisateur sont vulnérables à ces menaces potentielles : interception des données à mesure qu’elles passent sur le réseau, falsification des données quand elles passent sur le réseau et usurpation du serveur qui héberge les données.
Depuis Windows Server 2003, plusieurs fonctionnalités du système d’exploitation Windows Server peuvent aider à sécuriser les données utilisateur :
Kerberos : Kerberos est standard sur toutes les versions de Microsoft Windows 2000 Server et Windows Server à partir de Windows Server 2003. Kerberos garantit le niveau de sécurité le plus élevé pour les ressources réseau. NTLM authentifie uniquement le client ; Kerberos authentifie le serveur et le client. Lorsque NTLM est utilisé, le client ne sait pas si le serveur est valide. Cette différence est importante si le client échange des fichiers personnels avec le serveur, comme c’est le cas avec les profils utilisateur itinérants. Kerberos offre une meilleure sécurité que NTLM. Kerberos n’est pas disponible sur les systèmes d’exploitation Microsoft Windows NT Server 4.0 ou antérieurs.
IPsec : le protocole IPsec (IP Security Protocol) fournit l’authentification au niveau du réseau, l’intégrité des données et le chiffrement. IPsec garantit les éléments suivants :
Les données itinérantes sont protégées contre la modification des données pendant que les données sont en route.
Les données itinérantes sont protégées contre l’interception, l’affichage ou la copie.
Les données itinérantes sont protégées contre l’accès par les parties non authentifiées.
Signature SMB : le protocole d’authentification SMB (Server Message Block) prend en charge l’authentification des messages, ce qui empêche les attaques de message actif et de type « man-in-the-middle ». La signature SMB fournit cette authentification en plaçant une signature numérique dans chaque SMB. Le client et le serveur vérifient ensuite la signature numérique. Pour utiliser la signature SMB, vous devez d’abord l’activer ou l’exiger sur le client SMB et le serveur SMB.
Remarque
La signature SMB impose une pénalité de performances. Il ne consomme plus de bande passante réseau, mais il utilise davantage de cycles processeur côté client et serveur.
Toujours utiliser le système de fichiers NTFS pour les volumes qui contiennent des données utilisateur
Pour la configuration la plus sécurisée, configurez les serveurs qui hébergent les fichiers de paramètres UE-V afin d’utiliser le système de fichiers NTFS. Contrairement au système de fichiers FAT, NTFS prend en charge les listes de contrôle d’accès discrétionnaire (DACL) et les listes de contrôle d’accès système (SACL). Les dll DACL et les listes DECL contrôlent qui peut effectuer des opérations sur un fichier et quels événements déclenchent la journalisation des actions effectuées sur un fichier.
Ne vous fiez pas à EFS pour chiffrer les fichiers utilisateur lorsqu’ils sont transmis sur le réseau
Lorsque vous utilisez le système de fichiers EFS (Encrypting File System) pour chiffrer des fichiers sur un serveur distant, les données chiffrées ne sont pas chiffrées pendant le transit sur le réseau ; il ne devient chiffré que lorsqu’il est stocké sur le disque.
Ce processus de chiffrement ne s’applique pas lorsque votre système inclut la sécurité IPsec (Internet Protocol Security) ou web distributed authoring and versioning (WebDAV). IPsec chiffre les données pendant leur transport sur un réseau TCP/IP. Si le fichier est chiffré avant d’être copié ou déplacé vers un dossier WebDAV sur un serveur, il reste chiffré pendant la transmission et pendant qu’il est stocké sur le serveur.
Laisser l’agent UE-V créer des dossiers pour chaque utilisateur
Pour vous assurer que UE-V fonctionne de manière optimale, créez uniquement le partage racine sur le serveur et laissez l’agent UE-V créer les dossiers pour chaque utilisateur. UE-V crée ces dossiers utilisateur avec la sécurité appropriée.
Cette configuration d’autorisation permet aux utilisateurs de créer des dossiers pour le stockage des paramètres. L’agent UE-V crée et sécurise un dossier de package de paramètres pendant qu’il s’exécute dans le contexte de l’utilisateur. Les utilisateurs bénéficient d’un contrôle total sur leur dossier de package de paramètres. Les autres utilisateurs n’héritent pas de l’accès à ce dossier. Vous n’avez pas besoin de créer et de sécuriser des répertoires d’utilisateurs individuels. L’agent qui s’exécute dans le contexte de l’utilisateur le fait automatiquement.
Remarque
Lorsque vous utilisez un serveur Windows Server pour le partage de stockage des paramètres, vous pouvez configurer davantage de sécurité. Vous pouvez configurer UE-V pour vérifier que le groupe Administrateurs local ou l’utilisateur actuel est le propriétaire du dossier dans lequel les packages de paramètres sont stockés. Pour activer une sécurité supplémentaire, utilisez la commande suivante :
Ajoutez la clé
RepositoryOwnerCheckEnabledde Registre REG_DWORD àHKEY_LOCAL_MACHINE\Software\Microsoft\UEV\Agent\Configuration.Définissez la valeur de la clé de Registre sur
1.
Lorsque ce paramètre de configuration est en place, l’agent UE-V vérifie que le groupe Administrateurs local ou l’utilisateur actuel est le propriétaire du dossier du package de paramètres. Si ce n’est pas le cas, l’agent UE-V n’accorde pas l’accès au dossier.
Si vous devez créer des dossiers pour les utilisateurs, vérifiez que les autorisations appropriées sont définies.
Ne précréez pas de dossiers. Au lieu de cela, laissez l’agent UE-V créer le dossier pour l’utilisateur.
Vérifiez les autorisations correctes pour stocker les paramètres UE-V 2 dans un répertoire de base ou un répertoire personnalisé
Si vous redirigez les paramètres UE-V vers le répertoire de base d’un utilisateur ou un répertoire Active Directory (AD) personnalisé, vérifiez que les autorisations sur l’annuaire sont définies de manière appropriée pour votre organisation.