次の方法で共有

UE-V 2.1 SP1 のセキュリティに関する考慮事項

  • [アーティクル]

この記事では、Microsoft User Experience Virtualization (UE-V) 2.1 SP1 のアカウントとグループ、ログ ファイル、およびその他のセキュリティ関連の考慮事項の概要について説明します。

UE-V 構成のセキュリティに関する考慮事項

重要

設定ストレージ共有を作成するときは、アクセスを必要とするユーザーに共有アクセスを制限します。

設定パッケージには個人情報が含まれている可能性があるため、保護および可能な限り注意する必要があります。 一般に、次のアクションを実行します。

  • アクセスを必要とするユーザーのみに共有を制限します。 特定の共有上のフォルダーをリダイレクトしたユーザー用のセキュリティ グループを作成し、それらのユーザーのみにアクセスを制限します。

  • 共有を作成するときは、共有名の後に $ を付けて共有を非表示にします。 この追加により、共有はカジュアル なブラウザーから非表示になり、共有は [マイ ネットワークの場所] に表示されません。

  • ユーザーに必要な最小限のアクセス許可のみを付与します。 次の表は、必要なアクセス許可を示しています。

    1. ストレージの場所フォルダーの設定に対して、次の共有レベルの SMB アクセス許可を設定します。

      ユーザー アカウント 推奨されるアクセス許可
      すべてのユーザー アクセス許可なし
      UE-V のセキュリティ グループ フル コントロール

    2. 設定ストレージの場所フォルダーに対して、次の NTFS ファイル システムのアクセス許可を設定します。

      ユーザー アカウント 推奨されるアクセス許可 Folder
      作成者/所有者 フル コントロール サブフォルダーとファイルのみ
      ドメイン管理者 フル コントロール このフォルダー、サブフォルダー、およびファイル
      UE-V ユーザーのセキュリティ グループ フォルダーの一覧表示/データの読み取り、フォルダーの作成、データの追加 このフォルダーのみ
      すべてのユーザー すべてのアクセス許可を削除する アクセス許可なし

    3. 設定テンプレート カタログ フォルダーに対して、次の共有レベルの SMB アクセス許可を設定します。

      ユーザー アカウント アクセス許可の推奨
      すべてのユーザー アクセス許可なし
      ドメイン コンピューター 読み取りアクセス許可レベル
      管理者 読み取り/書き込みアクセス許可レベル

    4. 設定テンプレート カタログ フォルダーに対して次の NTFS アクセス許可を設定します。

      ユーザー アカウント 推奨されるアクセス許可 適用
      作成者/所有者 フル コントロール このフォルダー、サブフォルダー、およびファイル
      ドメイン コンピューター フォルダーの内容の一覧表示と読み取りアクセス許可 このフォルダー、サブフォルダー、およびファイル
      すべてのユーザー アクセス許可なし アクセス許可なし
      管理者 フル コントロール このフォルダー、サブフォルダー、およびファイル

Windows Server 2003 の時点で Windows Server を使用して、リダイレクトされたファイル共有をホストする

ユーザー設定パッケージ ファイルには、クライアント コンピューターと設定パッケージを格納するサーバーの間で転送される個人情報が含まれています。 このプロセスにより、データがネットワーク経由で移動する間にデータが保護されていることを確認する必要があります。

ユーザー設定データは、ネットワーク経由でのデータの傍受、ネットワーク経由でのデータの改ざん、データをホストするサーバーのなりすましなど、潜在的な脅威に対して脆弱です。

Windows Server 2003 の時点では、Windows Server オペレーティング システムのいくつかの機能がユーザー データのセキュリティ保護に役立ちます。

  • Kerberos - Kerberos は、Windows Server 2003 以降のすべてのバージョンの Microsoft Windows 2000 Server と Windows Server で標準です。 Kerberos は、ネットワーク リソースに対する最高レベルのセキュリティを保証します。 NTLM はクライアントのみを認証します。Kerberos は、サーバーとクライアントを認証します。 NTLM を使用すると、クライアントはサーバーが有効かどうかを認識しません。 この違いは、ローミング ユーザー プロファイルの場合と同様に、クライアントが個人用ファイルをサーバーと交換する場合に重要です。 Kerberos は NTLM よりも優れたセキュリティを提供します。 Kerberos は、Microsoft Windows NT Server 4.0 以前のオペレーティング システムでは使用できません。

  • IPsec - IP セキュリティ プロトコル (IPsec) は、ネットワーク レベルの認証、データ整合性、および暗号化を提供します。 IPsec では、次のことを確認します。

    • ローミングされたデータは、データが途中にある間、データの変更から安全です。

    • ローミングされたデータは、インターセプト、表示、またはコピーから安全です。

    • ローミングされたデータは、認証されていないパーティによるアクセスから安全です。

  • SMB 署名 - サーバー メッセージ ブロック (SMB) 認証プロトコルはメッセージ認証をサポートします。これにより、アクティブ メッセージと "man-in-the-middle" 攻撃を防ぎます。 SMB 署名は、各 SMB にデジタル署名を配置することで、この認証を提供します。 次に、クライアントとサーバーの両方でデジタル署名を確認します。 SMB 署名を使用するには、まず SMB 署名を有効にするか、SMB クライアントと SMB サーバーの両方で必要にする必要があります。

    SMB 署名では、パフォーマンスの低下が発生します。 これ以上のネットワーク帯域幅は消費されませんが、クライアント側とサーバー側ではより多くの CPU サイクルを使用します。

ユーザー データを保持するボリュームには、常に NTFS ファイル システムを使用します

最も安全な構成を行うために、NTFS ファイル システムを使用するように UE-V 設定ファイルをホストするサーバーを構成します。 FAT ファイル システムとは異なり、NTFS では随意アクセス制御リスト (DACL) とシステム アクセス制御リスト (SACL) がサポートされています。 DACL と SACL は、ファイルに対して操作を実行できるユーザーと、ファイルに対して実行されるアクションのログ記録をトリガーするイベントを制御します。

EFS を使用してユーザー ファイルをネットワーク経由で送信する場合は暗号化しないでください

暗号化ファイル システム (EFS) を使用してリモート サーバー上のファイルを暗号化する場合、暗号化されたデータはネットワーク経由での転送中に暗号化されません。ディスクに格納されている場合にのみ暗号化されます。

この暗号化プロセスは、システムにインターネット プロトコル セキュリティ (IPsec) または Web Distributed Authoring and Versioning (WebDAV) が含まれている場合には適用されません。 IPsec は、TCP/IP ネットワーク経由で転送されている間にデータを暗号化します。 ファイルがサーバー上の WebDAV フォルダーにコピーまたは移動される前に暗号化されている場合は、転送中とサーバーへの保存中に暗号化されたままになります。

UE-V エージェントで各ユーザーのフォルダーを作成できるようにする

UE-V が最適に動作するようにするには、サーバー上にルート共有のみを作成し、UE-V エージェントに各ユーザーのフォルダーを作成させます。 UE-V は、適切なセキュリティでこれらのユーザー フォルダーを作成します。

このアクセス許可の構成を使用すると、ユーザーは設定ストレージ用のフォルダーを作成できます。 UE-V エージェントは、ユーザーのコンテキストで実行されている間に、設定パッケージ フォルダーを作成してセキュリティで保護します。 ユーザーは、設定パッケージ フォルダーを完全に制御できます。 他のユーザーは、このフォルダーへのアクセス権を継承しません。 個々のユーザー ディレクトリを作成してセキュリティで保護する必要はありません。 ユーザーのコンテキストで実行されるエージェントによって自動的に実行されます。

設定ストレージ共有に Windows Server を使用する場合は、より多くのセキュリティを構成できます。 UE-V を構成して、ローカル Administrators グループまたは現在のユーザーが、設定パッケージが格納されているフォルダーの所有者であることを確認できます。 追加のセキュリティを有効にするには、次のコマンドを使用します。

  1. REG_DWORD レジストリ キー RepositoryOwnerCheckEnabledHKEY_LOCAL_MACHINE\Software\Microsoft\UEV\Agent\Configurationに追加します。

  2. レジストリ キーの値を 1 に設定します。

この構成設定が設定されている場合、UE-V エージェントは、ローカル Administrators グループまたは現在のユーザーが設定パッケージ フォルダーの所有者であることを確認します。 そうでない場合、UE-V エージェントはフォルダーへのアクセスを許可しません。

ユーザーのフォルダーを作成する必要がある場合は、適切なアクセス許可が設定されていることを確認します。

フォルダーを事前に作成しないでください。 代わりに、UE-V エージェントにユーザーのフォルダーを作成させます。

UE-V 2 設定をホーム ディレクトリまたはカスタム ディレクトリに格納するための適切なアクセス許可を確認する

UE-V 設定をユーザーのホーム ディレクトリまたはカスタム Active Directory (AD) ディレクトリにリダイレクトする場合は、ディレクトリに対するアクセス許可が組織に適切に設定されていることを確認します。

UE-V 2.1 SP1 のテクニカル リファレンス