Considerações de segurança do App-V 5.1
Este artigo contém uma breve descrição geral das contas e grupos, ficheiros de registo e outras considerações relacionadas com segurança para o Microsoft Application Virtualization (App-V) 5.1.
Importante
O App-V 5.1 não é um produto de segurança e não fornece garantias para um ambiente seguro.
A funcionalidade PackageStoreAccessControl (PSAC) foi preterida
A partir de junho de 2014, a funcionalidade PackageStoreAccessControl (PSAC) que foi introduzida no Microsoft Application Virtualization (App-V) 5.0 Service Pack 2 (SP2) foi preterida em ambientes de utilizador único e multiutilizador.
Considerações gerais de segurança
Compreenda os riscos de segurança. O risco mais grave para o App-V 5.1 é o facto de a sua funcionalidade poder ser sequestrada por um utilizador não autorizado que, em seguida, poderia reconfigurar os dados principais em clientes do App-V 5.1. A perda da funcionalidade App-V 5.1 por um curto período de tempo devido a um ataque denial-of-service geralmente não teria um impacto catastrófico.
Proteja fisicamente os seus computadores. A segurança está incompleta sem segurança física. Qualquer pessoa com acesso físico a um servidor App-V 5.1 pode potencialmente atacar toda a base de cliente. Quaisquer potenciais ataques físicos devem ser considerados de alto risco e mitigados adequadamente. Os servidores app-V 5.1 devem ser armazenados numa sala de servidor fisicamente segura com acesso controlado. Proteja estes computadores quando os administradores não estiverem fisicamente presentes ao bloquear o computador ou ao utilizar uma proteção de ecrã.
Aplique as atualizações de segurança mais recentes a todos os computadores.
Utilize palavras-passe fortes ou frases de acesso. Utilize sempre palavras-passe fortes com 15 ou mais carateres para todas as contas de administrador app-V 5.1 e App-V 5.1. Nunca utilize palavras-passe em branco. Para obter mais informações sobre os conceitos de palavra-passe, veja Palavras-passe e Políticas de Conta.
Contas e grupos no App-V 5.1
Uma melhor prática para a gestão de contas de utilizador é criar grupos globais de domínio e adicionar-lhes contas de utilizador. Em seguida, adicione as contas globais de domínio aos grupos locais do App-V 5.1 necessários nos servidores App-V 5.1.
Observação
As contas de computador cliente app-V que precisam de se ligar ao servidor de publicação têm de fazer parte do grupo local Utilizadores do servidor de publicação. Por predefinição, todos os computadores no domínio fazem parte do grupo Utilizadores Autorizados , que faz parte do grupo local Utilizadores .
Segurança do servidor App-V 5.1
Não são criados grupos automaticamente durante a Configuração do App-V 5.1. Deve criar os seguintes grupos globais dos Serviços de Domínio do Active Directory para gerir as operações do servidor App-V 5.1.
| Nome do grupo | Detalhes |
|---|---|
| Grupo de Administração de Gestão app-V | Utilizado para gerir o servidor de gestão app-V 5.1. Este grupo é criado durante a instalação do Servidor de Gestão do App-V 5.1. Importante: Não existe nenhum método para criar o grupo com a consola de gestão depois de concluir a instalação. |
| Leitura/escrita da base de dados para a conta do Serviço de Gestão | Fornece acesso de leitura/escrita à base de dados de gestão. Esta conta deve ser criada durante a instalação da base de dados de gestão do App-V 5.1. |
| Conta de administrador de instalação do Serviço de Gestão app-V | Fornece acesso público à tabela de versões de esquema na base de dados de gestão. Esta conta deve ser criada durante a instalação da base de dados de gestão do App-V 5.1. Nota: Isto só é necessário se a base de dados de gestão estiver a ser instalada separadamente do serviço. |
| Conta de administrador de instalação do Serviço de Relatórios app-V | Acesso público à tabela da versão do esquema na base de dados de relatórios. Esta conta deve ser criada durante a instalação da base de dados de relatórios do App-V 5.1. Nota: Isto só é necessário se a base de dados de relatórios estiver a ser instalada separadamente do serviço. |
Considere as seguintes informações adicionais:
Acesso às partilhas de pacotes – se existir uma partilha no mesmo computador que o Servidor de gestão, o Serviço de rede requer acesso de leitura à partilha. Além disso, cada computador cliente app-V tem de ter acesso de leitura à partilha de pacote.
Observação
Em versões anteriores do App-V, a partilha de pacotes era referida como partilha de conteúdos.
Registar servidores de publicação no Servidor de Gestão – tem de ser registado um servidor de publicação no servidor de Gestão. Por exemplo, tem de ser adicionada à base de dados, para que as contas do computador do servidor de publicação possam chamar para a API do serviço de Gestão.
Segurança do pacote App-V 5.1
O seguinte irá ajudá-lo a planear como garantir que os pacotes virtualizados estão seguros.
- Se um instalador de aplicações aplicar uma lista de controlo de acesso (ACL) a um ficheiro ou diretório, essa ACL não será mantida no pacote. Quando o pacote é implementado, se o ficheiro ou diretório for modificado por um utilizador, herdará a ACL em %userprofile% ou herdará a ACL do diretório do computador de destino. O caso anterior ocorre se o ficheiro ou diretório não existir numa localização do sistema de ficheiros virtual; este último caso ocorre se o ficheiro ou diretório existir numa localização do sistema de ficheiros virtual, por exemplo %windir%.
Ficheiros de registo do App-V 5.1
Durante a Configuração do App-V 5.1, os ficheiros de registo de configuração são criados na pasta %temp% do utilizador que instala.