Condividi tramite

Considerazioni sulla sicurezza per UE-V (Windows 10)

  • Articolo

Questo argomento contiene una breve panoramica di account e gruppi, file di log e altre considerazioni relative alla sicurezza per la virtualizzazione dell'esperienza utente (UE-V). Per altre informazioni, seguire i collegamenti forniti qui.

Considerazioni sulla sicurezza per la configurazione UE-V

Importante

Quando si crea la condivisione di archiviazione delle impostazioni, limitare l'accesso alla condivisione agli utenti che richiedono l'accesso.

Poiché i pacchetti di impostazioni potrebbero contenere informazioni personali, è necessario prestare attenzione a proteggerli il più possibile. In generale, seguire questa procedura:

  • Limitare la condivisione solo agli utenti che richiedono l'accesso. Create un gruppo di sicurezza per gli utenti che hanno reindirizzato le cartelle in una determinata condivisione e limitano l'accesso solo a tali utenti.
  • Quando si crea la condivisione, nascondere la condivisione inserendo un $ dopo il nome della condivisione. Questa aggiunta nasconde la condivisione ai browser occasionali e la condivisione non è visibile in My Network Places.
  • Concedere agli utenti solo il numero minimo di autorizzazioni che devono avere. Le tabelle seguenti mostrano le autorizzazioni necessarie.

  1. Impostare le autorizzazioni SMB a livello di condivisione seguenti per l'impostazione della cartella del percorso di archiviazione.

    Account utente Autorizzazioni consigliate
    Tutti Nessuna autorizzazione
    Gruppo di sicurezza di UE-V Controllo completo

  2. Impostare le autorizzazioni del file system NTFS seguenti per la cartella del percorso di archiviazione delle impostazioni.

    Account utente Autorizzazioni consigliate Cartella
    Creatore/Proprietario Nessuna autorizzazione Nessuna autorizzazione
    Domain Admins Controllo completo Questa cartella, sottocartelle e file
    Gruppo di sicurezza di utenti UE-V Elencare i dati di cartella/lettura, creare cartelle/accodare dati Solo questa cartella
    Tutti Rimuovere tutte le autorizzazioni Nessuna autorizzazione

  3. Impostare le autorizzazioni SMB a livello di condivisione seguenti per la cartella del catalogo del modello di impostazioni.

    Account utente Autorizzazioni consigliate
    Tutti Nessuna autorizzazione
    Computer di dominio Livelli di autorizzazione di lettura
    Administrators Livelli di autorizzazione di lettura/scrittura

  4. Impostare le autorizzazioni NTFS seguenti per la cartella del catalogo dei modelli di impostazioni.

    Account utente Autorizzazioni consigliate Applica a
    Creatore/Proprietario Controllo completo Questa cartella, sottocartelle e file
    Computer di dominio Elencare il contenuto della cartella e le autorizzazioni di lettura Questa cartella, sottocartelle e file
    Tutti Nessuna autorizzazione Nessuna autorizzazione
    Administrators Controllo completo Questa cartella, sottocartelle e file

Usare Windows Server a partire da Windows Server 2003 per ospitare condivisioni file reindirizzate

I file del pacchetto delle impostazioni utente contengono informazioni personali trasferite tra il computer client e il server che archivia i pacchetti di impostazioni. A causa di questo processo, è necessario assicurarsi che i dati siano protetti mentre viaggiano in rete.

I dati delle impostazioni utente sono vulnerabili a queste potenziali minacce: intercettazione dei dati durante il passaggio in rete, manomissione dei dati durante il passaggio in rete e spoofing del server che ospita i dati.

A partire da Windows Server 2003, diverse funzionalità del sistema operativo Windows Server consentono di proteggere i dati utente:

  • Kerberos : Kerberos è standard in tutte le versioni di Microsoft Windows 2000 Server e Windows Server a partire da Windows Server 2001. Kerberos garantisce il massimo livello di sicurezza per le risorse di rete. NTLM autentica solo il client; Kerberos autentica il server e il client. Quando viene usato NTLM, il client non sa se il server è valido. Questa differenza è importante se il client scambia i file personali con il server, come nel caso dei profili utente mobili. Kerberos offre una sicurezza migliore rispetto a NTLM. Kerberos non è disponibile nei sistemi operativi Microsoft Windows NT Server 4.0 o versioni precedenti.

  • IPsec : il protocollo IP Security Protocol (IPsec) fornisce l'autenticazione a livello di rete, l'integrità dei dati e la crittografia. IPsec garantisce che:

    • I dati sottoposti a roaming sono al sicuro dalla modifica dei dati mentre i dati sono in viaggio.
    • I dati in roaming sono al sicuro dall'intercettazione, dalla visualizzazione o dalla copia.
    • I dati in roaming sono al sicuro dall'accesso da parte di parti non autenticate.

  • Firma SMB : il protocollo di autenticazione SMB (Server Message Block) supporta l'autenticazione dei messaggi, che impedisce gli attacchi di messaggi attivi e "man-in-the-middle". La firma SMB fornisce questa autenticazione inserendo una firma digitale in ogni SMB. La firma digitale viene quindi verificata sia dal client che dal server. Per usare la firma SMB, è prima necessario abilitarla oppure è necessario richiederla sia nel client SMB che nel server SMB. La firma SMB impone una riduzione delle prestazioni. Non usa più larghezza di banda di rete, ma usa più cicli di CPU sul lato client e sul lato server.

Usare sempre il file system NTFS per i volumi che contengono dati utente

Per la configurazione più sicura, configurare i server che ospitano i file di impostazioni UE-V per l'uso del file system NTFS. A differenza del file system FAT, NTFS supporta elenchi di controllo di accesso discrezionali (DACL) e elenchi di controllo di accesso di sistema (SCL). Gli elenchi DACL e ICL controllano chi può eseguire operazioni su un file e quali eventi attivano la registrazione delle azioni eseguite su un file.

Non fare affidamento su EFS per crittografare i file utente quando vengono trasmessi in rete

Quando si usa Encrypting File System (EFS) per crittografare i file in un server remoto, i dati crittografati non vengono crittografati durante il transito in rete; viene crittografato solo quando viene archiviato su disco.

Questo processo di crittografia non si applica quando il sistema include Internet Protocol Security (IPsec) o Web Distributed Authoring and Versioning (WebDAV). IPsec crittografa i dati mentre vengono trasportati su una rete TCP/IP. Se il file viene crittografato prima di essere copiato o spostato in una cartella WebDAV in un server, rimane crittografato durante la trasmissione e mentre è archiviato nel server.

Consentire al servizio UE-V di creare cartelle per ogni utente

Per garantire il funzionamento ottimale di UE-V, creare solo la condivisione radice nel server e consentire al servizio UE-V di creare le cartelle per ogni utente. UE-V crea queste cartelle utente con la sicurezza appropriata.

Questa configurazione delle autorizzazioni consente agli utenti di creare cartelle per l'archiviazione delle impostazioni. Il servizio UE-V crea e protegge una cartella del pacchetto di impostazioni mentre viene eseguita nel contesto dell'utente. Gli utenti ricevono il controllo completo nella cartella del pacchetto delle impostazioni. Gli altri utenti non ereditano l'accesso a questa cartella. Non è necessario creare e proteggere singole directory utente. Il servizio UE-V eseguito nel contesto dell'utente lo esegue automaticamente.

Nota

È possibile configurare sicurezza aggiuntiva quando si usa Windows Server per la condivisione di archiviazione delle impostazioni. UE-V può essere configurato per verificare che il gruppo Administrators locale o l'utente corrente sia il proprietario della cartella in cui vengono archiviati i pacchetti di impostazioni. Per abilitare la sicurezza aggiuntiva, usare il comando seguente:

  1. Aggiungere la chiave del Registro di sistema REG_DWORD RepositoryOwnerCheckEnabled a HKEY_LOCAL_MACHINE\Software\Microsoft\UEV\Agent\Configuration.
  2. Impostare il valore della chiave del Registro di sistema su 1.

Quando questa impostazione di configurazione è impostata, il servizio UE-V verifica che il gruppo Administrators locale o l'utente corrente sia il proprietario della cartella del pacchetto delle impostazioni. In caso contrario, il servizio UE-V non concede l'accesso alla cartella.

Se è necessario creare cartelle per gli utenti, assicurarsi di avere le autorizzazioni corrette impostate.

È consigliabile non creare in precedenza cartelle. Lasciare invece che il servizio UE-V crei la cartella per l'utente.

Verificare le autorizzazioni corrette per archiviare le impostazioni UE-V 2 in una home directory o in una directory personalizzata

Se si reindirizzano le impostazioni UE-V alla home directory di un utente o a una directory di Active Directory (AD) personalizzata, assicurarsi che le autorizzazioni nella directory siano impostate in modo appropriato per l'organizzazione.

Esaminare il contenuto dei modelli di posizione delle impostazioni e controllarne l'accesso in base alle esigenze

Quando viene creato un modello di percorso delle impostazioni, il generatore UE-V usa una query LDAP (Lightweight Directory Access Protocol) per ottenere il nome utente e l'indirizzo di posta elettronica dell'utente connesso corrente. Queste informazioni vengono archiviate nel modello come nome dell'autore del modello e messaggio di posta elettronica dell'autore del modello. Nessuna di queste informazioni viene inviata a Microsoft.

Se si prevede di condividere i modelli di posizione delle impostazioni con chiunque all'esterno dell'organizzazione, è necessario esaminare tutte le posizioni delle impostazioni e assicurarsi che i modelli di posizione delle impostazioni non contengano informazioni personali o aziendali. È possibile visualizzare il contenuto aprendo i file del modello di percorso delle impostazioni usando qualsiasi visualizzatore XML. Di seguito sono riportati i modi in cui è possibile visualizzare e rimuovere le informazioni personali o aziendali dai file del modello di posizione delle impostazioni prima di condividere con chiunque all'esterno dell'azienda:

  • Nome autore modello : specificare un nome generale non identificativo per il nome dell'autore del modello o escludere questi dati dal modello.
  • Creazione modello Email: specificare un messaggio di posta elettronica generale per l'autore di modelli non identificante o escludere questi dati dal modello.

Per rimuovere il nome dell'autore del modello o il messaggio di posta elettronica dell'autore del modello, è possibile usare l'applicazione generatore UE-V. Nel generatore selezionare Modifica un modello di posizione delle impostazioni. Selezionare il modello di percorso delle impostazioni da modificare dai modelli usati di recente o Passare al file del modello di impostazioni. Selezionare Avanti per continuare. Nella pagina Proprietà rimuovere i dati dai campi di testo Template author name (Nome autore modello) o Template author email (Autore modello). Salvare il modello di percorso delle impostazioni.

Documentazione tecnica su UE-V