Considerazioni sulla sicurezza di App-V per Windows
Si applica a:
- Windows 10
- Windows 11
Questo articolo contiene una breve panoramica degli account e dei gruppi, dei file di log e di altre considerazioni correlate alla sicurezza per Microsoft Application Virtualization (App-V).
Importante
App-V non è un prodotto di sicurezza e non offre alcuna garanzia per un ambiente sicuro.
La funzionalità PackageStoreAccessControl (PSAC) è stata deprecata
A partire da giugno 2014, la funzionalità PackageStoreAccessControl (PSAC) introdotta in Microsoft Application Virtualization (App-V) 5.0 Service Pack 2 (SP2) è stata deprecata sia in ambienti a utente singolo che in ambienti multiutenti.
Considerazioni generali sulla sicurezza
Comprendere i rischi per la sicurezza. Il rischio più grave per App-V è da parte di utenti non autorizzati che dirottano le funzionalità di un client App-V, dando all'hacker la possibilità di riconfigurare i dati chiave nei client App-V. In confronto, la perdita a breve termine della funzionalità App-V da un attacco Denial of Service non sarebbe così catastrofica.
Proteggere fisicamente i computer. Una strategia di sicurezza che non considera la sicurezza fisica è incompleta. Chiunque abbia accesso fisico a un server App-V potrebbe potenzialmente attaccare l'intera base client, pertanto è consigliabile impedire potenziali attacchi fisici o furti a tutti i costi. I server App-V devono essere archiviati in una sala server fisicamente sicura con accesso controllato. Bloccare il computer con il sistema operativo o uno screen saver protetto per proteggere i computer quando gli amministratori sono lontani.
Applicare gli aggiornamenti della sicurezza più recenti a tutti i computer.
Usare password complesse o frasi pass. Usare sempre password complesse con 15 o più caratteri per tutti gli account amministratore di App-V e App-V. Non usare mai password vuote. Per altre informazioni sui concetti relativi alle password, vedere Criteri password e Password complesse.
Account e gruppi in App-V
Una procedura consigliata per la gestione degli account utente consiste nel creare gruppi globali di dominio e aggiungervi account utente. Successivamente, aggiungere gli account globali di dominio ai gruppi locali App-V necessari nei server App-V.
Nota
Gli account computer client App-V che devono connettersi al server di pubblicazione devono far parte del gruppo locale Utenti del server di pubblicazione. Per impostazione predefinita, tutti i computer nel dominio fanno parte del gruppo Utenti autorizzati , che fa parte del gruppo locale Utenti .
Sicurezza del server App-V
Durante l'installazione di App-V non vengono creati automaticamente gruppi. È consigliabile creare i gruppi globali di Servizi di dominio Active Directory seguenti per gestire le operazioni del server App-V.
Nome gruppo | Dettagli | Note importanti |
---|---|---|
Gruppo di amministratori di gestione di App-V | Usato per gestire il server di gestione App-V. Questo gruppo viene creato durante l'installazione del server di gestione App-V. | La console di gestione non può creare un nuovo gruppo al termine dell'installazione. |
Lettura/scrittura del database per l'account del servizio di gestione | Fornisce l'accesso in lettura/scrittura al database di gestione. Questo account deve essere creato durante l'installazione del database di gestione App-V. | |
Account amministratore di installazione del servizio di gestione App-V | Fornisce l'accesso pubblico alla tabella della versione dello schema nel database di gestione. Questo account deve essere creato durante l'installazione del database di gestione App-V. | Questo account è necessario solo se il database di gestione viene installato separatamente dal servizio. |
Account amministratore di installazione di App-V Reporting Service | Accesso pubblico alla tabella della versione dello schema nel database di report. Questo account deve essere creato durante l'installazione del database di report App-V. | Questo account è necessario solo se il database di creazione report viene installato separatamente dal servizio. |
Si considerino le informazioni aggiuntive seguenti:
Accesso alle condivisioni pacchetti: se esiste una condivisione nello stesso computer del server di gestione, il servizio di rete richiede l'accesso in lettura alla condivisione. Inoltre, ogni computer client App-V deve avere accesso in lettura alla condivisione del pacchetto.
Nota
Nelle versioni precedenti di App-V, la condivisione pacchetto veniva definita condivisione di contenuto.
Registrazione di server di pubblicazione con Server di gestione: un server di pubblicazione deve essere registrato con il server di gestione. Ad esempio, deve essere aggiunto al database, in modo che gli account del computer server di pubblicazione siano in grado di chiamare nell'API del servizio di gestione.
Sicurezza del pacchetto App-V
Se un programma di installazione dell'applicazione applica un elenco di controllo di accesso (ACL) a un file o a una directory, tale elenco di controllo di accesso non viene salvato in modo permanente nel pacchetto. Se il file o la directory viene modificato da un utente quando il pacchetto viene distribuito, il file o la directory modificata erediterà l'ACL nel %userprofile% o erediterà l'ACL della directory del computer di destinazione. Il primo si verifica se il file o la directory non esiste in un percorso del file system virtuale; quest'ultimo si verifica se il file o la directory esiste in un percorso del file system virtuale, ad esempio %windir%.
File di log di App-V
Durante l'installazione di App-V, i file di log di installazione vengono creati nella cartella %temp% dell'utente che esegue l'installazione.