次の方法で共有

UE-V のセキュリティに関する考慮事項 (Windows 10)

  • [アーティクル]

このトピックでは、ユーザー エクスペリエンス仮想化 (UE-V) のアカウントとグループ、ログ ファイル、およびその他のセキュリティ関連の考慮事項の概要について説明します。 詳細については、ここに記載されているリンクに従ってください。

UE-V 構成のセキュリティに関する考慮事項

重要

設定ストレージ共有を作成するときは、アクセスを必要とするユーザーに共有アクセスを制限します。

設定パッケージには個人情報が含まれている可能性があるため、可能な限り保護するように注意する必要があります。 一般に、次の手順を実行します。

  • アクセスを必要とするユーザーのみに共有を制限します。 特定の共有上のフォルダーをリダイレクトし、それらのユーザーのみにアクセスを制限したユーザーのセキュリティ グループをCreateします。
  • 共有を作成するときは、共有名の後に $ を付けて共有を非表示にします。 この追加により、共有はカジュアル ブラウザーから非表示になり、共有は [マイ ネットワーク] Placesに表示されません。
  • ユーザーに付与する必要があるアクセス許可の最小数のみを指定します。 次の表は、必要なアクセス許可を示しています。

  1. ストレージの場所フォルダーの設定に対して、次の共有レベルの SMB アクセス許可を設定します。

    ユーザー アカウント 推奨されるアクセス許可
    すべてのユーザー アクセス許可なし
    UE-V のセキュリティ グループ フル コントロール

  2. 設定ストレージの場所フォルダーに対して、次の NTFS ファイル システムのアクセス許可を設定します。

    ユーザー アカウント 推奨されるアクセス許可 Folder
    作成者/所有者 アクセス許可なし アクセス許可なし
    ドメイン管理者 フル コントロール このフォルダー、サブフォルダー、およびファイル
    UE-V ユーザーのセキュリティ グループ フォルダーの一覧表示/データの読み取り、フォルダーの作成、データの追加 このフォルダーのみ
    すべてのユーザー すべてのアクセス許可を削除する アクセス許可なし

  3. 設定テンプレート カタログ フォルダーに対して、次の共有レベルの SMB アクセス許可を設定します。

    ユーザー アカウント アクセス許可の推奨
    すべてのユーザー アクセス許可なし
    ドメイン コンピューター 読み取りアクセス許可レベル
    管理者 読み取り/書き込みアクセス許可レベル

  4. 設定テンプレート カタログ フォルダーに対して次の NTFS アクセス許可を設定します。

    ユーザー アカウント 推奨されるアクセス許可 適用
    作成者/所有者 フル コントロール このフォルダー、サブフォルダー、およびファイル
    ドメイン コンピューター フォルダーの内容の一覧表示と読み取りアクセス許可 このフォルダー、サブフォルダー、およびファイル
    すべてのユーザー アクセス許可なし アクセス許可なし
    管理者 フル コントロール このフォルダー、サブフォルダー、およびファイル

Windows Server 2003 の時点で Windows Server を使用して、リダイレクトされたファイル共有をホストする

ユーザー設定パッケージ ファイルには、クライアント コンピューターと設定パッケージを格納するサーバーの間で転送される個人情報が含まれています。 このプロセスにより、データがネットワーク経由で移動する間にデータが保護されていることを確認する必要があります。

ユーザー設定データは、ネットワーク経由でのデータの傍受、ネットワーク経由でのデータの改ざん、データをホストするサーバーのなりすましなど、潜在的な脅威に対して脆弱です。

Windows Server 2003 の時点では、Windows Server オペレーティング システムのいくつかの機能がユーザー データのセキュリティ保護に役立ちます。

  • Kerberos - Kerberos は、Windows Server 2001 以降のすべてのバージョンの Microsoft Windows 2000 Server と Windows Server で標準です。 Kerberos は、ネットワーク リソースに対する最高レベルのセキュリティを保証します。 NTLM はクライアントのみを認証します。Kerberos は、サーバーとクライアントを認証します。 NTLM を使用すると、クライアントはサーバーが有効かどうかを認識しません。 この違いは、ローミング ユーザー プロファイルの場合と同様に、クライアントが個人用ファイルをサーバーと交換する場合に重要です。 Kerberos は NTLM よりも優れたセキュリティを提供します。 Microsoft Windows NT Server 4.0 以前のオペレーティング システムでは Kerberos を使用できません。

  • IPsec - IP セキュリティ プロトコル (IPsec) は、ネットワーク レベルの認証、データ整合性、および暗号化を提供します。 IPsec では、次のことが保証されます。

    • ローミングされたデータは、データが途中にある間、データの変更から安全です。
    • ローミングされたデータは、インターセプト、表示、またはコピーから安全です。
    • ローミングされたデータは、認証されていないパーティによるアクセスから安全です。

  • SMB 署名 - サーバー メッセージ ブロック (SMB) 認証プロトコルはメッセージ認証をサポートします。これにより、アクティブ メッセージと "man-in-the-middle" 攻撃を防ぎます。 SMB 署名は、各 SMB にデジタル署名を配置することで、この認証を提供します。 その後、デジタル署名は、クライアントとサーバーの両方によって検証されます。 SMB 署名を使用するには、まず SMB 署名を有効にするか、SMB クライアントと SMB サーバーの両方で必要にする必要があります。 SMB 署名ではパフォーマンスの低下が発生します。 これ以上のネットワーク帯域幅は消費されませんが、クライアント側とサーバー側ではより多くの CPU サイクルを使用します。

ユーザー データを保持するボリュームには、常に NTFS ファイル システムを使用します

最も安全な構成を行うために、NTFS ファイル システムを使用するように UE-V 設定ファイルをホストするサーバーを構成します。 FAT ファイル システムとは異なり、NTFS では随意アクセス制御リスト (DACL) とシステム アクセス制御リスト (SACL) がサポートされています。 DACL と SACL は、ファイルに対して操作を実行できるユーザーと、ファイルに対して実行されるアクションのログ記録をトリガーするイベントを制御します。

EFS を使用してユーザー ファイルをネットワーク経由で送信する場合は暗号化しないでください

暗号化ファイル システム (EFS) を使用してリモート サーバー上のファイルを暗号化する場合、暗号化されたデータはネットワーク経由での転送中に暗号化されません。ディスクに格納されている場合にのみ暗号化されます。

この暗号化プロセスは、システムにインターネット プロトコル セキュリティ (IPsec) または Web Distributed Authoring and Versioning (WebDAV) が含まれている場合には適用されません。 IPsec は、TCP/IP ネットワーク経由で転送されている間にデータを暗号化します。 ファイルがサーバー上の WebDAV フォルダーにコピーまたは移動される前に暗号化されている場合は、転送中とサーバーへの保存中に暗号化されたままになります。

UE-V サービスで各ユーザーのフォルダーを作成できるようにする

UE-V が最適に動作するようにするには、サーバー上にルート共有のみを作成し、UE-V サービスに各ユーザーのフォルダーを作成させます。 UE-V は、適切なセキュリティでこれらのユーザー フォルダーを作成します。

このアクセス許可の構成を使用すると、ユーザーは設定ストレージ用のフォルダーを作成できます。 UE-V サービスは、ユーザーのコンテキストで実行されている間に、設定パッケージ フォルダーを作成してセキュリティで保護します。 ユーザーは、設定パッケージ フォルダーを完全に制御できます。 他のユーザーは、このフォルダーへのアクセス権を継承しません。 個々のユーザー ディレクトリを作成してセキュリティで保護する必要はありません。 ユーザーのコンテキストで実行される UE-V サービスによって自動的に実行されます。

設定ストレージ共有に Windows Server を使用する場合は、追加のセキュリティを構成できます。 UE-V は、ローカル Administrators グループまたは現在のユーザーが、設定パッケージが格納されているフォルダーの所有者であることを確認するように構成できます。 追加のセキュリティを有効にするには、次のコマンドを使用します。

  1. REG_DWORD レジストリ キー RepositoryOwnerCheckEnabled を に追加します HKEY_LOCAL_MACHINE\Software\Microsoft\UEV\Agent\Configuration
  2. レジストリ キーの値を 1 に設定します。

この構成設定が設定されている場合、UE-V サービスは、ローカルの Administrators グループまたは現在のユーザーが設定パッケージ フォルダーの所有者であることを確認します。 そうでない場合、UE-V サービスはフォルダーへのアクセスを許可しません。

ユーザーのフォルダーを作成する必要がある場合は、適切なアクセス許可が設定されていることを確認します。

フォルダーを事前に作成しないことを強くお勧めします。 代わりに、UE-V サービスでユーザーのフォルダーを作成します。

UE-V 2 設定をホーム ディレクトリまたはカスタム ディレクトリに格納するための適切なアクセス許可を確認する

UE-V 設定をユーザーのホーム ディレクトリまたはカスタム Active Directory (AD) ディレクトリにリダイレクトする場合は、ディレクトリに対するアクセス許可がorganizationに適切に設定されていることを確認します。

設定の場所テンプレートの内容を確認し、必要に応じてアクセスを制御する

設定の場所テンプレートが作成されると、UE-V ジェネレーターはライトウェイト ディレクトリ アクセス プロトコル (LDAP) クエリを使用して、現在ログインしているユーザーのユーザー名と電子メール アドレスを取得します。 この情報は、テンプレート作成者名とテンプレート作成者メールとしてテンプレートに格納されます。 (この情報はいずれも Microsoft に送信されません)。

organization以外のユーザーと設定場所テンプレートを共有する場合は、すべての設定の場所を確認し、設定の場所テンプレートに個人情報や会社の情報が含まれていないことを確認する必要があります。 コンテンツを表示するには、任意の XML ビューアーを使用して設定の場所テンプレート ファイルを開きます。 社外のユーザーと共有する前に、設定の場所テンプレート ファイルから個人情報や会社の情報を表示および削除する方法を次に示します。

  • [テンプレート作成者名] - テンプレート作成者名 の一般的な名前を指定するか、テンプレートからこのデータを除外します。
  • テンプレート作成者Email - 一般的で識別されていないテンプレート作成者の電子メールを指定するか、このデータをテンプレートから除外します。

テンプレート作成者名またはテンプレート作成者メールを削除するには、UE-V ジェネレーター アプリケーションを使用します。 ジェネレーターから、[ 設定の場所テンプレートの編集] を選択します。 最近使用したテンプレートから編集する設定場所テンプレートを選択するか、設定テンプレート ファイルを参照します。 [ 次へ ] を選択して続行します。 [プロパティ] ページで、[テンプレート作成者名] フィールドまたは [テンプレート作成者の電子メール] テキスト フィールドからデータを削除します。 設定の場所テンプレートを保存します。

UE-V テクニカル リファレンス